Revisionsrapport IT-revision 2013 Solna Stad ecompanion Fredrik Dreimanis November 2013
Innehållsförteckning Inledning... 3 Avgränsning.3 Granskningens omfattning... 4 Sammanfattning... 5 Observationer och rekommendationer... 6 2 av 7
Inledning I samband med den finansiella revisionen av Solna Stad för verksamhetsåret 2013 har en IT-revision av applikationen ecompanion genomförts. Syftet med granskningen att bedöma förvaltning och intern kontroll för applikationen vilken innehåller data som är kritiska för den finansiella informationen. Granskningen har även syftat till att säkerställa att data hanteras fullständigt och riktigt. Baserat på ovan har följande revisionskriterier utarbetats för granskningen: Stödjer förvaltningen av kritiska applikationer kraven enligt ISA 315, avseende intern kontroll kopplat till kritiska IT-system. Finns det ändamålsenliga kontroller på plats avseende uppföljning och hantering av tredjepartsleverantörer. Granskningen har utförts genom intervju med Sam Pettersson och Åsa Fernqvist samt granskning av stödjande dokument. Avgränsning Granskningen avser att säkerställa att förvaltningen har god intern kontroll avseende applikationen ecompanion, vilken stödjer finansiell rapportering. Baserat på omfattningen av granskningen och vår revisionsstrategi kan våra observationer inte förväntas inkludera alla möjliga förbättringar i den interna kontrollen. 3 av 7
Granskningens omfattning Granskningen har utförts av Fredrik Dreimanis (PwC) under november 2013 och har omfattat nedanstående granskningsområden. Granskningsområde ISA 315 Förstå och utvärdera informationssystem och indirekta kontroller över IT Förändringshantering Åtkomst och behörigheter Loggning och uppföljning Kontrollmoment - En definierad IT-organisation finns på plats - Styrande dokument (ex. IT-policy, IT-strategi, etc.) finns på plats - Riskanalyser genomförs gällande driften av kritiska applikationer - Kritiska IT-projekt vilka påverkar applikationsförvaltningen finns tydligt definierade - Formell samlingsplan avseende applikationen finns upprättad - Rutiner och riktlinjer för Tredjepartsförvaltning finns definierade - Väsentlig systemdokumentation finns på plats - Interna kontroller finns definierade - Interna kontroller testas regelbundet - Rutiner för back up och avbrottshantering finns definierade - Formell förändringsprocess finns på plats - Förändringar är implementerade fullständigt och riktigt i produktionsmiljön - Formell behörighetsprocess finns på plats - Periodisk genomgång av användare och deras respektive behörigheter - Hantering av gruppkonton är begränsad och tydliggjord - Aktivitet av tredjepartsanvändare granskas regelbundet - Loggfunktionalitet finns aktiverad i kritiska applikationer - Regelbundna logguttag och analyser av utförda aktiviteter avseende tredjepartsanvändare genomförs Granskningen har omfattat behörigheter och förändringshantering för följande applikationer: Ref. nr. Applikation 1 ecompanion 4 av 7
Sammanfattning Baserat på genomförd granskning noterades att Solna Stad har en tydlig förvaltning avseende applikationen ecompanion där bland annat roller och ansvar finns definierade. Dock noterades ett antal områden där Solna Stad har möjlighet att förstärka och förbättra rutiner och processer i syfte att stärka den interna kontrollen. Solna Stad bör säkerställa att det finns en tydlig och formaliserad samverkan med tredjepartsleverantören Evry, där avtalsefterlevnad kontinuerligt följs upp. Vidare bör Solna Stad säkerställa att återläsning av data genomförs i syfte att säkerställa redundans för applikationen. Solna Stad bör även analysera behovet av en testmiljö vilken kan behövas vid test av förändringar samt för att säkerställa redundans. Totalt noterades fem observationer avseende intern kontroll kopplat till applikationen ecompanion. Resultat av granskningen Nedan har observationer för granskningen sammanställts på aggregerad nivå. Observationerna har bedömts efter dess väsentlighet. Graderingen illustreras med hjälp av följande definition: Hög En brist med stor påverkan på system, processer eller intern kontroll vilken kan medföra att verksamheten exponeras för betydande förluster eller väsentliga fel i den finansiella rapporteringen. Medium En brist med påverkan på system, processer eller intern kontroll som kan medföra att verksamheten exponeras för förluster eller betydande fel i den finansiella rapporteringen. Låg En mindre brist eller fel där risken för otillbörlig användning och/eller felaktigheter i bokföringen är lägre, men där det ändå bedöms finnas utrymme för förbättringar. Ref. Observation Prioritet 1. Avsaknad av uppföljning gällande leverans från tredjepart (Evry). Medium 2. Avsaknad av systemdokumentation. Låg 3. Avsaknad av formaliserad testprocess gällande förändringar och testmiljö. Medium 4. Avsaknad av återläsningstest. Medium 5. Avsaknad av formaliserad rutin för periodisk granskning av behörigheter. Medium För mer information och detaljer avseende respektive observation se avsnittet Observationer och rekommendationer nedan. 5 av 7
Observationer och rekommendationer Nedan specificeras respektive observation i detalj med relaterad risk och med den rekommendation PwC bedömer som lämplig i syfte att begränsa risken. Ref. Observation Rekommendation 1. Avsaknad av uppföljning gällande leverans från tredjepart (Evry). Det noterades att Solna Stad idag inte har någon formell uppföljning av leveransen från driftspartnern Evry gällande ecompanion. Risk: Avsaknad av formell uppföljning gällande leverans från tredjepart ökar risken för felaktig hantering av kritiska applikationer. Felaktig hantering kan påverka transaktioner och data vilken är kritisk för organisationen samt i vissa fall data vilken är kritisk för den finansiella rapporteringen. Solna Stad bör implementera en formell rutin där kontinuerliga avstämningar med Evry genomförs i syfte att säkerställa att deras leverans genomförs i enlighet med gällande avtal. Exempelvis bör nyckeltal definieras, som uppföljning av: - Tillgänglighet, - Incidenter, - Responstider, - Servicegrad, - Efterlevnad av regler och riktlinjer, - Förändrings-/applikations hantering. Avstämningspunkter med Evry bör tydligt dokumenteras. Dokumentationen bör arkiveras i syfte att skapa spårbarhet i genomförda aktiviteter och stödja god intern kontroll. 2. Avsaknad av systemdokumentation. Det noterades att ingen systemdokumentation finns på plats avseende applikationen ecompanion. Risk: Avsaknad av tydlig dokumentation avseende kritiska system försvårar spårbarheten i förvaltningen. Otydlig förvaltning kan påverka den operativa effektiviteten i applikationen. Prioritet: Låg Solna Stad bör säkerställa att systemdokumentation är ändamålsenlig i förhållande till gällande applikation och förvaltning. 6 av 7
Ref. Observation Rekommendation 3. Avsaknad av testmiljö samt formaliserad testprocess gällande förändringar. Det noterades att Solna Stad inte har en formaliserad process gällande test av förändringar till applikationen ecompanion. Vidare noterades att ingen testmiljö finns på plats för applikationen. Risk: Avsaknad av spårbarhet gällande test ökar risken för otestade och/eller felaktiga förändringar vilka implementeras i produktionsmiljön. Felaktiga förändringar vilka implementeras i produktionsmiljön kan påverka funktioner vilka är kritiska för data vilken påverkar den finansiella rapporteringen Solna Stad bör definiera och dokumentera en process gällande hur förändringar till applikationen ecompanion ska testas. Processen bör säkerställa, som minimum, att följande aktiviteter genomförs: Test av system kompabilitet, Test av slutanvändare. Tester bör säkerställa att kritiska funktioner i processen fungerar i enlighet med gällande rutiner. Vidare bör detta dokumenteras. Solna Stad bör även upprätta en testmiljö för att genomföra relevanta tester och återläsningar för applikationen. 4. Avsaknad av återläsningstest. Det noterades att ingen återläsning av data backuper för applikationen ecompanion har genomförts under verksamhetsåret 2013 Risk: Avsaknad av återläsning gällande data ökar risken för att data inte är redundant. Avsaknad av redundant data kan påverka information vilken är kritisk för den finansiella rapporteringen. 5. Avsaknad av formaliserad rutin för periodisk granskning av behörigheter. Det noterades att ingen formaliserad periodisk granskning av användare i applikationen ecompanion genomförs. Dock noterades att Solna Stad har en automtisk kontroll vilken inaktiverar användare som inte varit aktiva de senaste 90 dagarna. Risk: Avsaknad av granskning gällande behörigheter ökar risken för felaktig eller bedräglig åtkomst till kritisk data. Felaktig eller bedräglig åtkomst till kritisk data kan påverka transaktioner eller information vilken är kritisk för den finansiella rapporteringen. Solna Stad bör säkerställa att en formaliserad och implementerad rutin finns på plats avseende återläsning. Där, som minimum, data återläses årligen i syfte att säkerställa redundans i data. Solna Stad bör implementera en kontroll vilken säkerställer att användare har rätt behörighet. Det vill säga åtkomst till applikationen ecompanion i enlighet med sina arbetsuppgifter. Exempelvis kan en lista på samtliga aktiva användare med åtkomst till ecompanion extraheras där en genomgång av dessa genomförs i syfte att validera att behörigheter är fullständigt och riktigt tilldelade. Vidare bör Solna Stad analyser om det finns möjlighet att öka frekvensen för den automatiska inaktiveringen till 30 dagar. 7 av 7