Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Relevanta dokument
Uppföljning - granskning av kommunens IThantering

Uppföljning. Kultur- och fritidsnämnden

Intern kontroll och riskbedömningar. Strömsunds kommun

Skellefteå City Airport AB

Uppföljning av granskning av kultur- och fritidsverksamheten. Hultsfreds kommun

Revisionsrapport Styrning och ledning av IT och informationssäkerhet

Kommunstyrelsens uppsikt uppföljande granskning

Uppföljning avseende granskning kring Avtalstrohet

Granskning av intern kontroll avseende kommunens konst

Samverkan mellan kommun och landsting avseende vården av psykiskt funktionshindrade

Lekmannarevision 2017 Systematiskt arbetsmiljöarbete

Informationsöverföring. kommunikation med landstinget - uppföljande granskning

Granskning av kommunens beredskap avseende EKOfrågor (Etik, Korruption och Oegentligheter) Revisorerna Bollnäs kommun

Informations- och kommunikationsteknologi. Smedjebackens kommun

Granskning av upphandlingsverksamheten. Sandvikens kommun

Övergripande granskning av kommunstyrelsens styrning och uppföljning av ekonomi och verksamhet (styrmodell)

Uppföljande granskning av överförmyndarverksamheten

Revisionsrapport Avtalstrohet

Revisionsrapport angående granskning av kommunens anpassning till nya IT-lösningar

Informationssäkerhetspolicy för Ånge kommun

Granskning av intern kontroll. Lekmannarevisorerna i Borgholm Energi AB

Uppföljning av tidigare granskning av kommunens fordon

Revisionsrapport E-förvaltning: molntjänster Skellefteå kommun Bo Rehnberg Cert. kommunal revisor

Revisionsrapport Uppföljning av granskning förtroendevaldas anspråk på förlorad arbetsförtjänst

av samhällsbyggnadsnämndens ansvarsutövning Sandvikens kommun

Intern kontroll i kommunen och dess företag. Sollefteå kommun

Ägarstyrning och uppsikt. Skellefteå Stadshus AB

Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion.

IT- och informationssäkerhet

Landstingets ärende- och beslutsprocess - uppföljning

Styrning, uppföljning och kontroll av att eleverna i grundskolan når kunskapskraven. Oxelösunds kommun

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

nämnders arbete gentemot våldsbejakande extremism

Granskning av drifts- och servicenämnden. Karlstads kommun

Granskningsredogörelse Strategisk styrning

Uppföljning av revisionsrapport Kommunala aktivitetsansvaret i Lysekils kommun januari 2019

Uppföljning av revisionsrapporten "Investeringsprocessen Bollnäs Kommun

Landstingets ärende- och beslutsprocess

Revisionsrapport nr 1, 2012 R Wallin. Vadstena kommun. Bisysslor bland anställda

Revisionsrapport Granskning av upphandlingsrutiner. Ragunda Kommun

Granskning av räddningstjänstens ITverksamhet

Revisionsrapport Granskning av fordonanvändandet Caroline Liljebjörn Emmaboda Bostads AB

Granskningsredogörelse Fastighetsunderhåll

Handläggning och dokumentation inom ordinärt boende

Ekonomi- och målstyrning inom barn- och. genomförd granskning

Uppföljning av granskning 2014 Intern kontroll. Smedjebackens kommun

Uppföljning av tidigare genomförd. kommunens fastighetsunderhåll

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011

Intern kontroll och riskbedömningar. Sollefteå kommun

Granskning av intern kontroll avseende betalningsrutiner. Vattenpalatset i Mönsterås AB

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10

Framtidens äldreomsorg - översiktlig granskning. Strömsunds kommun

Granskning av upphandlingsverksamhet

Svar på revisionsskrivelse informationssäkerhet

Uppföljning av revisionsrapport om kommunens IT-hantering från 2010

Revisionsrapport Marie Lindblad Certifierad kommunal revisor ErikJansen Revisionskonsult mars 2017 pwc

Samordningsförbundet Consensus

Kungsörs kommun. Uppföljning av intern kontroll Revisionsrapport. KPMG AB Antal sidor: 8

Granskning av kommunens leasingbilar

Emil Forsling Auktoriserad revisor. Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014

Uppföljande granskning: Sjukfrånvaro och rehabilitering. Strömsunds kommun

Revisionsrapport Budgetprocessen Pajala kommun Anna Carlénius Revisonskonsult

Revisionsrapport Marie Lindblad Certifierad kommunal revisor ErikJansen Revisionskonsult mars 2017 pwc

Samordningsförbundet Consensus

Verksamhetsplan. för IT. Diarienummer: Ks2014/ Gäller från: Fastställd av: Kommunstyrelsen

Granskning av lönesystem

Ansvarsutövande: Miljönämnden Sundsvalls kommun

Samspel politik och förvaltning

Matarengivägsprojektet

Uppföljande granskning av inköpsrutin och köptrohet inom kommunen. Mönsterås kommun

Uppföljning granskning av näringslivsarbetet

Uppföljning av Granskning av socialnämndens. uppföljning och kontroll

Revisionsrapport Styrning och ledning av psykiatrin

Granskning av Intern kontroll

Granskning av fordonsanvändandet. Emmaboda Elnät AB Emmaboda Energi och Miljö AB

Revisionsrapport Granskning av näringslivsfrågor. Härjedalens Kommun

Projekt med extern finansiering styrning och kontroll

Granskning av fakturahantering

Revisionsrapport "Förstudie av kommunens ITorganisation"

Revisionsrapport Granskning av styrdokument.

Granskning av intern kontroll avseende betalningsrutiner

Revisionsrapport. Bisysslor. Hultsfreds kommun. Yvonne Lundin Caroline Liljebjörn 17 december 2012

Miljö- och hälsoskyddsarbetet

Lekmannarevision Granskning av beslutsunderlag och protokoll

Revisionsrapport Granskning av upphandlade ramavtal. Härjedalens Kommun

Svar på revisionsrapport om kommunens IT-strategi

PROTOKOLL Kommunstyrelsen 55 Svar på Revisionsrapport kommunstyrelsens uppsikt över bolagen Beredning Yrkande Kommunstyrelsens beslut

Rekryteringsprocess och kompetensförsörjning uppföljning. Smedjebackens kommun

Budgetprocess för investeringar uppföljande granskning. Skellefteå kommun

Granskning av Verkställigheten av kommunfullmäktiges beslut

Förändring av bolagets strategiska inriktning. Skellefteå Kraft AB

Översiktlig granskning av kommunens arbete med att säkerställa en tillräcklig intern kontroll Smedjebackens kommun

Ägarstyrning och ägardialog inom stadshuskoncernen

Rapport från kommunrevisorerna avseende granskning av rutiner för bilanvändning

Ansvarsutövande: Barn- och utbildningsnämnden Sundsvalls kommun

Kvalitet i förskoleverksamheten Pajala kommun

Revisionsrapport Granskning av arkivrutiner. Krokoms kommun

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport

Ärende- och dokumenthantering

Transkript:

www.pwc.se Revisionsrapport Uppföljning av ITgranskning från år 2013 Caroline Liljebjörn 1 juni 2016

Innehåll Sammanfattning och revisionell bedömning...2 1.1. Bedömningar mot kontrollmål...2 2. Inledning...4 2.1. Bakgrund...4 2.2. Revisionsfråga och kontrollmål...4 2.3. Metod och avgränsning...4 3. Iakttagelser och bedömningar...5 3.1. Det finns aktuella och styrande dokument....5 3.1.1. Bedömning från år 2013...5 3.1.2. Iakttagelser vid uppföljningen...5 3.1.3. Bedömning...6 3.2. Roller och ansvar är definierade....6 3.2.1. Bedömning från år 2013...6 3.2.2. Iakttagelser vid uppföljningen...6 3.2.3. Bedömning...6 3.3. Överenskommelser är tecknade mellan IT-avdelningen och förvaltningarna.6 3.3.1. Bedömning från år 2013...6 3.3.2. Iakttagelser i samband med uppföljning...7 3.3.3. Bedömning...7 3.4. Uppföljningen som görs av IT-användningen och den gemensamma infrastrukturen är strukturerad och systematiserad...7 3.4.1. Bedömning från år 2013...7 3.4.2. Iakttagelser vid uppföljningen...7 3.4.3. Bedömning...7 3.5. IT-driften är fri från störningar...7 3.5.1. Bedömning från år 2013...7 3.5.2. Iakttagelser vid uppföljningen...7 3.5.3. Bedömning... 8 3.6. Det finns rutiner för tester av återläsning av backuper....8 3.6.1. Bedömning från år 2013... 8 3.6.2. Iakttagelser vid uppföljningen... 8 3.6.3. Bedömning... 8 Juni 2016 1 av 9

Sammanfattning och revisionell bedömning Under år 2013 genomfördes en granskning av kommunens IT-hantering. Granskningen visade på flera brister, bland annat saknades aktuella styrdokument och de som fanns var inte kända i organisationen, ansvar och roller kunde tydliggöras, det saknades överenskommelser mellan IT-avdelningen och förvaltningarna och det förekom driftstörningar. Revisorerna har beslutat att följa upp granskningen från år 2013 med särskilt fokus på vilka förbättringar som genomförts utifrån granskningen. Baserat på genomförd granskning gör vi följande revisionella bedömning. Vi bedömer att påpekade brister som togs upp i samband med granskningen år 2013 inte har åtgärdats. Det baserar vi på att det saknas aktuella och styrande dokument som är fastställda, att det kvarstår behov att tydliggöra roller och ansvar, att det saknas tecknade överenskommelser mellan IT-avdelningen och förvaltningarna samt att det saknas rutiner för tester av återläsning av backuper. Vi ser positivt på vissa åtgärder vidtagits för att göra IT-driften mer fri från störningar. Vi noterar att arbetet med att göra systemsäkerhetsanalys har inletts med ett system inom socialförvaltningens verksamhet. Vi vill betona vikten av att arbetet fortsätter med övriga centrala system inom den kommunala förvaltningen. Vi anser vidare att det bör utses en ansvarig för det övergripande arbetet med informationssäkerhet. 1.1. Bedömningar mot kontrollmål Kontrollmål Kommentar Det finns aktuella och styrande dokument. Roller och ansvar är definierade. Överenskommelser är tecknade mellan IT-avdelningen och förvaltningen. Ej uppfyllt Vi bedömer att det saknas aktuella och styrande dokument avseende IT i Borgholms kommun. Bedömning och rekommendationer från granskningen år 2013 kvarstår. Delvis uppfyllt Vi bedömer att roller och ansvar till viss del är dokumenterade, men vi anser att roller och ansvar bland annat mellan IT-avdelningen och utbildningsförvaltningen fortfarande behöver förtydligas. Bedömningarna och rekommendationer från granskningen år 2013 kvarstår. Ej uppfyllt Vi bedömer att det saknas överenskommelser mellan IT-avdelningen och förvaltningarna. Juni 2016 2 av 9

Uppföljningarna som görs av IT-användningen och den gemensamma infrastrukturen är strukturerad och systematiserad. IT-driften är fri från störningar. Det finns rutiner för tester av återläsning av backuper. Bedömningar och rekommendationer från granskningen år 2013 kvarstår. Delvis uppfyllt Vi bedömer att det till viss del görs uppföljningar av IT-användningen och den gemensamma infrastrukturen. IT-avdelningen har under ett flertal år gjort uppföljningar via enkät, men resultaten har enligt uppgift varit svåra att använda. Vi anser därför att andra uppföljningsmetoder bör testas. Det kan till exempel innebära att samla in synpunkter direkt från användarna via systemförvaltare och på arbetsplatsträffar. Delvis uppfyllt Vi bedömer att vissa åtgärder vidtagits för att göra IT-driften mera fri från störningar. Det innebär bland annat att det finns en investeringsplan för att utföra nödvändiga reinvesteringar i hård- och mjukvara. Ej uppfyllt Vi bedömer att det saknas rutiner för tester av återläsning av backuper. Bedömningen från granskningen år 2013 kvarstår. Juni 2016 3 av 9

2. Inledning 2.1. Bakgrund Under år 2013 genomfördes en granskning av kommunens IT-hantering. Granskningen visade på flera brister, bland annat saknades aktuella styrdokument och de som fanns var inte kända i organisationen, ansvar och roller kunde tydliggöras, det saknades överenskommelser mellan IT-avdelningen och förvaltningarna och det förekom driftstörningar. Revisorerna har beslutat att följa upp granskningen från år 2013 med särskilt fokus på vilka förbättringar som genomförts utifrån granskningen. 2.2. Revisionsfråga och kontrollmål Uppföljningen ska besvara följande revisionsfråga: Har påpekade brister åtgärdats som togs upp i samband med granskningen år 2013? Granskningen sker baserat på följande revisionskriterier: Beslutade styrdokument inom området. Följande kontrollmål ska besvaras av uppföljningen: Det finns aktuella styrande dokument inom IT-området. Roller och ansvar är definierade. Överenskommelser är tecknade mellan IT-avdelningen och förvaltningarna. Uppföljningen som görs av IT-användningen och den gemensamma infrastrukturen är strukturerad och systematiserad. IT-driften är fri från störningar. Det finns rutiner för återläsning av backuper. 2.3. Metod och avgränsning Granskningen avgränsas till de brister som påtalades i rapporten år 2013. Vi har genomfört intervju med IT-chefen. Faktauppgifterna i rapporten har granskats av IT-chefen. Juni 2016 4 av 9

3. Iakttagelser och bedömningar Sedan 1 februari 2015 har IT-avdelningen i utökats till att även omfatta Mörbylånga kommun. IT-chefen nyrekryterade tre systemtekniker och fyra ITtekniker för att anpassa bemanningen till uppdraget. För varje kontrollmål redogörs för vilka bedömningar som gjordes i den ursprungliga granskningsrapporten, därefter följer en beskrivning av de iakttagelser som gjorts i samband med uppföljningen och de revisionella bedömningar som gjorts därpå. 3.1. Det finns aktuella och styrande dokument. 3.1.1. Bedömning från år 2013 Vi bedömer att det saknas aktuella styrande dokument avseende IT i. IT-strategin/IT-handboken är känd bland förvaltningschefer och systemförvaltare, men mer allmänt bland de anställda tyder svaren i enkäten på att kunskapen om policys och riktlinjer inom IT är låg. Vi ser det som angeläget att en aktuell strategi utformas som innehåller uppdaterade riktlinjer för IT-verksamheten och som stämmer överens med hur IT används i kommunen. Riktlinjerna behöver göras kända i organisationen. Vi bedömer att det behöver göras en systemsäkerhetsanalys som omfattar de viktigaste systemen i den kommunala verksamheten. Analysen bör omfatta både IT-frågor och verksamhetsfrågor. 3.1.2. Iakttagelser vid uppföljningen Vid tiden för granskningen år 2013 fanns en IT-strategi som antogs av kommunfullmäktige 2005-06-13, 40. I granskningsrapporten beskrivs att dokumentet är föråldrat eftersom IT-avdelningens organisation och andra förutsättningar ändrats. Det är en iakttagelse som i ännu högre utsträckning är giltig i dag. IT-chefen har arbetat fram ett förslag till ny IT-policy, men dokumentet hade vid tiden för intervjun inte behandlats politiskt. Dokumentet beskriver strategier som viljeinriktning, enhetlighet, avvägning vid val av driftform samt vilka andra styrande dokument som finns som handlingsplaner, handböcker med mera. I granskningsrapporten från år 2013 beskrivs att IT-chefen påbörjat att utarbeta ett ledningssystem inom informationssäkerhet tillsammans med informationssäkerhetssamordnaren på Regionförbundet. Sedan dess har beslut fattats att inte ta hjälp av Regionförbundet vid arbetet med informationssäkerhet. IT-chefen beskriver att det inte tillsatts några resurser och att det inte är tydligt vem som har uppdraget som innebär det övergripande ansvaret för arbetet med informationssäkerhet. Socialförvaltningen har använt verktyget Klassa från SKL för att informationssäkerhetsklassa informationen i ett av deras verksamhetssystem. Tanken är att metodiken ska användas för flera verksamhetssystem. Juni 2016 5 av 9

3.1.3. Bedömning Vi bedömer att det saknas aktuella och styrande dokument avseende IT i Borgholms kommun. Bedömning och rekommendationer från granskningen år 2013 kvarstår. 3.2. Roller och ansvar är definierade. 3.2.1. Bedömning från år 2013 Vi bedömer att roller och ansvar finns beskrivna och vi ser positivt på att det finns utsedda systemägare, systemförvaltare och driftsansvariga för de olika systemen. Vi anser att ansvaret för systemägare och systemförvaltare bör aktualiseras. Vi anser att IT-avdelningen alltid bör få möjlighet att medverka i projekt då nya system ska införskaffas eftersom den har den totala överblicken över vilka system som finns i kommunen. Vi bedömer vidare att ansvaret mellan IT-avdelningen och utbildningsförvaltningens ITpedagog bör förtydligas. Vi anser att IT-avdelningen även i fortsättningen ska ansvara för val av hårdvara och gemensamma system samt inköp av dessa. 3.2.2. Iakttagelser vid uppföljningen Enligt vad som framkommer i intervjun kvarstår behovet att aktualisera ansvaret för systemägare eftersom det föreligger bristande förståelse för vad som ingår i rollen och för vad IT-avdelningen ska leverera. IT-chefen bedömer att systemförvaltarna i stort sett utför de uppgifter som åligger rollen. Rollerna finns beskrivna i befintliga dokument. Inköp av hårdvara ska göras via upphandlade avtal och bland de modeller som ITavdelningen definierat. Inom utbildningsförvaltningen görs inköp av enheter med nya funktioner utan att IT-avdelningen blir informerad. Det förekommer även att antalet enheter utökas utan att IT-avdelningen har blivit informerad. I granskningsrapporten beskrevs att IT-chefen var adjungerad i ledningsgruppen och deltog i möten när IT-frågor behandlades. I samband med uppföljningen framkommer att IT-chefen inte deltagit på ledningsgruppen det senaste året. 3.2.3. Bedömning Vi bedömer att roller och ansvar till viss del är dokumenterade, men vi anser att roller och ansvar bland annat mellan IT-avdelningen och utbildningsförvaltningen fortfarande behöver förtydligas. Bedömningar och rekommendationer från granskningen år 2013 kvarstår. 3.3. Överenskommelser är tecknade mellan ITavdelningen och förvaltningarna. 3.3.1. Bedömning från år 2013 Vi bedömer att det till viss del finns forum för dialog kring krav, uppföljning och framtida behov av IT-tjänster. Vi ser det som en brist att det inte finns några överenskommelser mellan IT-avdelningen och förvaltningarna som formulerar kraven på IT-tjänster och som uppföljningarna kan göras mot. Överenskommelserna anser vi behövs för att tydliggöra IT-avdelningens tjänster. Juni 2016 6 av 9

När överenskommelserna har upprättats bör IT-avdelningen regelbundet träffa ansvariga för att göra uppföljningar av de levererade tjänsterna och fånga upp förvaltningarnas framtidsplaner. 3.3.2. Iakttagelser i samband med uppföljning Det finns inga överenskommelser om vad IT-avdelningen ska leverera för tjänster till förvaltningarna. 3.3.3. Bedömning Vi bedömer att det saknas överenskommelser mellan IT-avdelningen och förvaltningarna. Bedömningar och rekommendationer från granskningen år 2013 kvarstår. 3.4. Uppföljningen som görs av IT-användningen och den gemensamma infrastrukturen är strukturerad och systematiserad. 3.4.1. Bedömning från år 2013 Vi bedömer att uppföljningen av användningen av IT och den gemensamma infrastrukturen är tillfredsställande, men att uppföljningarna bör struktureras och systematiseras. 3.4.2. Iakttagelser vid uppföljningen IT-chefen beskriver att den enkät som gjordes år 2014 visade ett mycket sämre resultat än tidigare, men att resultatet har varit svårt att använda eftersom endast en mindre del av IT-användarna i kommunen svarade. Någon annan uppföljning över IT-användningen och den gemensamma infrastrukturen görs inte. I framtiden vill IT-chefen att systemtekniker och systemförvaltare träffas i högre utsträckning för att planera ärenden och följa upp hur driften fungerar. 3.4.3. Bedömning Vi bedömer att det till viss del görs uppföljningar av IT-användningen och den gemensamma infrastrukturen. IT-avdelningen har under ett flertal år gjort uppföljningar via enkät, men resultaten har enligt uppgift varit svåra att använda. Vi anser därför att andra uppföljningsmetoder bör testas. Det kan till exempel innebära att samla in synpunkter direkt från användarna via systemförvaltare och på arbetsplatsträffar. 3.5. IT-driften är fri från störningar. 3.5.1. Bedömning från år 2013 Vi bedömer att IT-driften inte är tillräckligt fri från störningar. Även om svaren övervägande är positiva är det flera användare som gett exempel på problem som orsakar störningar i verksamheten. Det innebär att det finns en risk att verksamhetens effektivitet och säkerhet påverkas negativt. 3.5.2. Iakttagelser vid uppföljningen Det saknas fortfarande en aktuell säkerhetspolicy och i nuläget finns det inget tydligt uppdrag vem som övergripande är ansvarig för att det tas fram en sådan. Juni 2016 7 av 9

IT-chefen beskriver att det vidtagits flera åtgärder för att säkra att driften är fri från störningar. Det innebär bland annat att det finns en investeringsplan för att utföra nödvändiga reinvesteringar av hård- och mjukvara. Frågor som inkommer till helpdesken analyseras i syfte att utröna var större åtgärder behöver sättas in. Rutinen att regelbundet återstarta alla servrar under natten till måndag varje vecka används fortfarande. Enligt IT-chefen påverkar det driftsäkerheten positivt. Om en server inte skulle startas om syns det på en logglista som IT-teknikerna kontrollerar på måndagsmorgonen. 3.5.3. Bedömning Vi bedömer att vissa åtgärder vidtagits för att göra IT-driften mera fri från störningar. 3.6. Det finns rutiner för tester av återläsning av backuper. 3.6.1. Bedömning från år 2013 Vi anser att det är viktigt att IT-avdelningen tillförs resurser för att regelbundet testa att säkerhetskopiorna fungerar. Vi rekommenderar att testerna dokumenteras och att de används som en checklista vid en verklig situation då säkerhetskopiorna behöver användas. 3.6.2. Iakttagelser vid uppföljningen Det saknas en testmiljö där återläsning av backuper kan göras. IT-chefen beskriver att det vore ett område att samverka kring för kommunerna Borgholm och Mörbylånga. För att rutinen ska fungera krävs även att systemförvaltaren avsätter tid för test av återläsningen. Frågan har aktualiserats i samband med socialförvaltningens arbete med informationssäkerhet. 3.6.3. Bedömning Vi bedömer att det saknas rutiner för tester av återläsning av backuper. Bedömningen från år 2013 kvarstår. Juni 2016 8 av 9

2016-06-01 Pär Sturesson Uppdragsledare Caroline Liljebjörn Projektledare Juni 2016 9 av 9

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss