Generella IT-kontroller uppföljning av granskning genomförd 2012

Relevanta dokument
Avvikelsehantering och kunskapsåterföring - uppföljning

LANDSTINGET I VÄRMLAND Revisionskontoret Johan Magnusson. Bisysslor förstudie. Rapport 10-16

Folktandvårdens intäkter -uppföljning

Landstingets ärende- och beslutsprocess - uppföljning

Projekthantering uppföljning

Rätt intäkter - uppföljning

Privata vårdgivare förstudie

Landstinget i Värmland Granskning av generella IT-kontroller. Revisionsrapport

Utomlänsintäkter förstudie

Landstingets miljöarbete uppföljning

Krisberedskap - förstudie

Granskning av landstingets konsthantering

Landstingets kompetensförsörjning - förstudie

Patientavgifter - uppföljning

Barnperspektiv, förstudie

Landstingsstyrelsens uppsikt över följsamhet till fullmäktiges reglemente för intern kontroll

Landstingets ansvar för verksamhet inom Region Värmland

Uppföljande granskning av landstingets strategiska råd och grupper

Landstingsstyrelsens uppsikt över följsamhet till fullmäktiges reglemente för intern kontroll

Hantering och redovisning av folktandvårdens intäkter

Patienthotellet- förstudie

Landstingets ärende- och beslutsprocess

Hälsofrämjande förhållningssätt - uppföljning

Projekthantering inom landstinget i Värmland - en förstudie

Revisionsrapport Uppföljning av granskning förtroendevaldas anspråk på förlorad arbetsförtjänst

Införande av nytt journalsystem i Folktandvården Rapport 8-10

1177 e-hälsa förstudie

Styrning av behörigheter

Kungsörs kommun. Uppföljning av intern kontroll Revisionsrapport. KPMG AB Antal sidor: 8

Hällefors kommun. Uppföljning av intern kontroll Revisionsrapport. Offentlig sektor KPMG AB Antal sidor: 13

Uppföljande granskning av landstingsstyrelsens kontroll över konstföremål

Granskning år 2015 av folkhögskolestyrelsen för Vindelns och Storumans folkhögskolor

Granskning år 2015 av patientnämnden

Granskning av kostnämnden i Lycksele år 2016

Uppföljande granskning av utbetalda ersättningar i Hälsovalet DECEMBER 2015

Erfarenhet och kunskap från avvikelserapporteringen

Granskning av förmånsbilar

Sjukfrånvaro - förstudie

Intern kontroll i kommunen och dess företag. Sollefteå kommun

Revisionsrapport 2018 Genomförd på uppdrag av revisorerna Oktober Haparanda stad. Uppföljning granskning av placerade barn och unga

Region Skåne Granskning av IT-kontroller

Uppföljande granskning av landstingets leverantörsregister

Följsamhet till regler och rutiner för attestering

Bergslagens kommunalteknik. Nyckelhantering Projektplan. KPMG AB 10 augusti 2016 Antal sidor: 5. Projektplan nyckelhantering.docx

Granskning år 2014 av patientnämnden

Granskning år 2014 av museistiftelserna

Systemförvaltning - en uppföljande granskning

Granskning av behörigheter till journalsystemet

Landstingets internkontrollarbete år 2012

Pensionsfondens förvaltning intern kontroll Rapport 9-10

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10

Landstinget Kronoberg

Revisionsrapport Intern kontroll inom Landstinget Dalarna

Uppföljningsrapport IT-revision 2013

Granskning år 2012 av patientnämnden

Kundfordringar en uppföljande granskning

Granskning av de finansiella delarna i delårsrapport. Landstinget i Värmland

Jämlik vård förstudie

Uppföljande granskning av resefakturor

Åstorps kommun. Detaljplan- och bygglovsprocessen Revisionsrapport. Audit KPMG AB 10 juni 2014 Antal sidor: 7. Detaljplan- och bygglovsprocessen.

Landstingets styrning och kontroll av ITavbrottsplaner

Arboga kommun. Granskning av investeringsprocessen. Projektplan KPMG AB Antal sidor: 5

Uppföljning avseende granskning kring Avtalstrohet

Granskning av Intern kontroll

Granskning av landstingets regler och rutiner för attestering av leverantörsfakturor och löner

Uppföljningsrapport IT-generella kontroller 2015

Granskning av intern kontroll

Granskning intern kontroll

Granskning av intern kontroll

Revisionsrapport: Förebyggande arbete mot mutor och jäv

Beredning av beslutat investeringsutrymme

Granskning av landstingsstyrelsens styrning och uppföljning av planerat fastighetsunderhåll

Tillgänglighet i vården Rapport 12-10

Uppföljning av revisionsgranskningar genomförda år 2013

Uppföljande granskning av överförmyndarverksamheten

Granskning av årsredovisning 2016 samt landstingsstyrelsens styrning, uppföljning och interna kontroll

Granskning av kontroll av legitimation m.m. vid anställning av personal

Revisionsrapport. IT-revision Solna Stad ecompanion

Lekmannarevision MittSverige Vatten AB & Sundsvall Vatten AB

Emil Forsling Auktoriserad revisor. Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014

Granskning av landstingsstyrelsens kontroll över ledningssystemet år 2016

Lekmannarevision 2017 Systematiskt arbetsmiljöarbete

Intern kontroll och riskbedömningar. Sollefteå kommun

/6-~c~Æ ~v{; _e/ Elisabeth Friberg, vice ordförrupe. .lile fj ~ C'" Till Kommunstyrelsen

SAMMANTRÄDESPROTOKOLL Kommunens revisorer Sammanträdesdatum

Revisionsrapport: Uppföljning av rapport Genomlysning av IFO

Patienternas synpunkter som underlag för att utveckla hälso- och sjukvården

Revisionsrapport Marks kommun Charlie Lindström December 2018

av samhällsbyggnadsnämndens ansvarsutövning Sandvikens kommun

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium

Granskning av intern kontroll. Lekmannarevisorerna i Borgholm Energi AB

Kommunstyrelsen. För kännedom: Kommunfullmäktiges presidium. Revisionsrapport: Redovisning av materiella anläggningstillgångar

Revisionsrapport 2018 Mölndals stad

LANDSTINGSREVISIONEN. Vård av äldre. Rapport nr 12/2016

Kommunstyrelsen och nämnder har ett särskilt ansvar för intern kontroll enligt kommunallagen (kap 6:1, 6:7).

Informationsöverföring. kommunikation med landstinget - uppföljande granskning

Uppföljande granskning av upphandlingar inom fastighetsområdet

Implementering av barnkonventionen i Linköpings kommun

Uppföljande granskning av resefakturor

Intern kontroll Revisionsrapport. Vänersborgs kommun. Intern kontroll år 2o16. Henrik Bergh Mars 2017 PWC

Transkript:

LANDSTINGET I VÄRMLAND Revisionskontoret 2016-11-14 Johan Magnusson Rev/16020 Generella IT-kontroller uppföljning av granskning genomförd 2012 Rapport 12-16

Generella IT-kontroller - uppföljning Bakgrund Landstingets revisorer ansvarar för att genomföra årlig granskning av landstingets samtliga verksamheter. Utifrån detta uppdrag och ansvar har landstingets revisorer utarbetat dokumentet Granskningsstrategi i vilket de beskrivit de områden som revisorerna främst ska fokusera på under innevarande mandatperiod. Baserad på granskningsstrategin gör revisorerna en årlig riskbedömning och revisionsplan. I Revisionsplan 2016 har revisorerna aktualiserat en uppföljande granskning avseende generella IT-kontroller. Landstingets revisorer genomförde år 2012 en granskning avseende Generella IT-kontroller med fokus på landstingets ekonomisystem. I granskningen framkom bland annat att: landstinget saknade en formell kontroll kring periodisk genomgång av användarrättigheter och behörighet till Raindance, det inte fanns någon enhetlig rutin och larmhantering kring schemalagda batch-jobb (beräkningar och rapporter i t.ex. EA- respektive PA-systemen som körs automatiskt) och att det inte skedde någon formell avrapportering kring avtalad leverans från leverantören Logica samt att det inte sker någon avstämning mot avtal eller Service Level Agreement (SLA) 1. Av landstingsstyrelsens svar på revisorernas rapport framgick att ekonomistaben skulle se över de aktuella rutinerna för hantering av behörigheter med syfte att förbättra och säkerställa regelbunden granskning av behörigheter och användare i Raindance. Landstings-IT skulle se över de aktuella rutinerna och utarbeta riktlinjer för hur integrationer, som Landstings-IT har driftansvaret för, ska implementeras och dokumenteras (en integrationsstandard ) med syfte att förbättra och säkerställa hur automatisk och manuell övervakning, larmhantering samt felrapportering skall hanteras. Ekonomistaben skulle utveckla agendan för driftsmöten med formella stående avrapporteringspunkter med syfte att tillgodose en bättre uppföljning av drifts- och supportavtal med leverantören. 1 I IT-sammanhang reglerar ett SLA vanligtvis vilken tillgänglighet ett system ska ha, hur lång tid det högst får gå innan felavhjälpning ska påbörjas, hur snabbt felet ska vara åtgärdat och hur många gånger ett fel får förekomma under en given tidsperiod. 1

Syfte och revisionsfrågor Den övergripande revisionsfrågan är om landstingsstyrelsen har vidtagit åtgärder med anledning av den kritik och de synpunkter som framkom i revisorernas granskning från 2012. Granskningen ska ge svar på följande revisionsfrågor: Har landstingsstyrelsen säkerställt att rutinerna för hantering av behörigheter och användare i Raindance regelbundet granskas? Har landstingsstyrelsen tillsett att riktlinjer utarbetats för hur integrationer, som Landstings-IT har driftansvaret för, ska implementeras och dokumenteras? Har landstingsstyrelsen säkerställt att agendan för driftsmöten, med ITleverantören, innehåller formella stående avrapporteringspunkter med syfte att tillgodose en bättre uppföljning av drifts- och supportavtal med leverantören? Om granskningen visar att det finns brister, vilka förbättringsåtgärder behöver vidtas? Avgränsning Granskningen har avgränsats till att omfatta en uppföljning av rapporten Generella IT-kontroller från 2012. Revisionskriterier Granskningen har utgått från tillämplig lagstiftning, relevanta fullmäktigebeslut och styrdokument. Ansvarig nämnd Landstingsstyrelsen ansvarar för att tillse att lagar och andra tillämpliga bestämmelser samt fullmäktiges beslut efterlevs. Landstingsstyrelsen ansvarar för den interna kontrollen. Metod Granskningen har genomförts i form av dokumentstudier och intervjuer. 2

Granskningens resultat: 1 Har landstingsstyrelsen säkerställt att rutinerna för hantering av behörigheter och användare i Raindance regelbundet granskas? I revisionsrapporten från 2012 framfördes en rekommendation om att en formell rutin utformas för att regelbundet granska behörigheter. Detta för att säkerställa att användare i applikationerna och underliggande system har behörigheter som motsvarar arbetsuppgifter. Denna rutin bör utföras minst en gång per verksamhetsår samt dokumenteras. Av landstingsstyrelsens svar på revisorernas rapport från 2012 framgick att ekonomistaben ska se över rutinerna för hantering av behörigheter. Syftet med översynen var att förbättra och säkerställa granskning av behörigheter och användare i Raindance. Ekonomistaben har gjort en översyn av rutinerna för hantering av behörigheter och användare, bland annat har en total inventering av användare och behörigheter gjorts. I samband med inventeringen avslutades behörigheter för användare som slutat i landstinget eller fått andra arbetsuppgifter. Ekonomistaben har också infört tydliga grupperingar av de behörigheter som utfärdas, det finns till exempel en mall för vilken typ av behörighet en controller ska ha. En rutin för årlig kontroll av utfärdade behörigheter har införts. Användare som inte varit inloggade de senaste 9 månaderna inaktiveras. En formell rutin för behörighetskontroll kommer att inarbetas i den internkontrollplan som ekonomistaben utarbetar under hösten 2016. 2 Har landstingsstyrelsen tillsett att riktlinjer utarbetats för hur integrationer, som Landstings-IT har driftansvaret för, ska implementeras och dokumenteras? I revisorernas rapport från 2012 rekommenderades landstingsstyrelsen att tillse att Landstings-IT utarbetar en formell rutin för hur jobb och scheman ska definieras samt ändras. Rekommendationen omfattade även att klarlägga ansvaret för övervakning av jobb och hantering av eventuella fel samt att detta ska följa en formaliserad rutin. Dessa rutiner kan med fördel definieras under implementeringen av det nya integrationsverktyget JBOSS och ingå i formella OLA(Operational level agreement)/sla. Landstingsstyrelsen svarade revisorerna, att Landstings-IT ska se över dagens rutiner och utarbeta riktlinjer för hur integrationer som Landstings-IT har driftansvaret för ska implementeras och dokumenteras (en integrationsstandard ) med syfte att förbättra och säkerställa hur automatisk och manuell övervakning, larmhantering samt felrapportering skall hanteras. Landstings-IT har åtgärdat de brister som framfördes i revisorernas rapport från 2012. Det finns rutiner för hur integrationer, som Landstings-IT har ansvar för, ska implementeras och dokumenteras. ICC (Integration 3

Competence Center) är en funktion inom Landstings-IT som ansvarar för övervakning, larmhantering och felrapportering. I revisorernas rapport framfördes vikten av att ha formella rutiner inom detta område. Landstings-IT har checklistor som ska följas i samband med integrationer och har sedan 2012 infört en ny integrationsplattform Biztalk. När en integration ska tas i drift görs det specifikationer, utveckling och uppkoppling till Landstings-ITs övervakningssystem. Ansvaret för att definitivt fastställa huruvida informationen gått från ett system till ett annat ligger dock på den verksamhet som använder systemet 3 Har landstingsstyrelsen säkerställt att agendan för driftsmöten, med IT-leverantören, innehåller formella stående avrapporteringspunkter med syfte att tillgodose en bättre uppföljning av drifts- och supportavtal med leverantören? I revisionsrapporten från 2012 framfördes en rekommendation om att landstinget under sina driftsmöten med Logica, borde begära formella avrapporteringspunkter. Punkterna skulle exempelvis kunna innehålla: 1) Tillgänglighet av servrar och system, 2) Öppna, stängda och fortgående ärenden samt tid för åtgärd, 3) Faktisk prestanda och upplevd prestanda, 4) Genomgång av avsteg från avtal eller SLA:s. Landstingsstyrelsen angav i sitt svar på revisorernas rapport att ekonomistaben ska utveckla agendan för nuvarande driftsmöten med formella stående avrapporteringspunkter med syfte att tillgodose en bättre uppföljning av drifts- och supportavtal med leverantören. Ekonomistaben har formaliserat innehållet i de driftsmöten som man har med leverantören CGI (tidigare Logica) var sjätte vecka. Vid driftsmötena deltar också (sedan 2014) en representant från Landstings-IT. Vid mötena rapporteras, som fasta punkter, såväl proaktiva som reaktiva åtgärder. Rapporteringen omfattar systemets tillgänglighet, svarstider, planerade uppgraderingar och funktionalitet/driftstörningar. Vid driftsmötena förs tydliga protokoll där det bland annat framgår vad som har hänt, vem som har ansvar och vem som ska göra vad samt när det ska göras. Det finns en rutin, om ej formellt fastställd, för mötesstrukturen på olika nivåer inom Förvaltningsobjekt Ekonomi (Raindance). Av rutinen framgår vilka personer/funktioner som deltar vid respektive möten och vilka frågor som ska hanteras. Rutinen anger också vilken information som ska återkopplas till nästa nivå. Fyra gånger per år träffas styrgruppen för Förvaltningsobjekt Ekonomi där objektägaren (landstingets ekonomichef) och förvaltningsledaren (ITchefen) deltar. 4

Sammanfattande slutsats och bedömning Denna uppföljande granskning har visat att ekonomistaben åtgärdat de brister som iakttogs vid granskningen 2012. De införda rutinerna är dock inte formellt fastställda, men detta kan åtgärdas genom att inarbeta rutinerna i den internkontrollplan som ekonomistaben kommer att ta fram under hösten 2016. Landstings-IT har åtgärdat de brister som framkom i den granskning som revisorerna lät genomföra år 2012. Vår bedömning är således att åtgärder vidtagits med anledning av den kritik och de synpunkter som framkom i revisorernas granskning från 2012. Johan Magnusson Certifierad kommunal yrkesrevisor 5

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss