Revisionsrapport. IT-revision Solna Stad ecompanion

Relevanta dokument
Uppföljningsrapport IT-revision 2013

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Uppföljningsrapport IT-generella kontroller 2015

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

Granskning av generella IT-kontroller för PLSsystemet

Granskning av applikationenn Basware oktober 2012*

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Granskning av intern kontroll i lönehanteringen

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Granskning av intern kontroll i kommunens huvudboksprocess

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Bolagsspecifika resultat Sektion 3. Page 1

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Revision av den interna kontrollen kring uppbördssystemet REX

Landskrona stad. Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten.

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Datum Kommunrevisionen: Granskning av generalla IT-kontroller 2013

Granskning av IT intern kontroll

Region Skåne Granskning av IT-kontroller

Svar till revisorerna angående revisionsrapport, Granskning av ITsäkerhet

Granskning av bokslutsprocessen

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Stockholms Stadshus AB. Granskning av IT-intern kontroll 11 December 2014

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Nr Iakttagelse Risk Risknivå Pensionsmyndighetens svar till Riksrevisionen , dnr VER

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Landstinget i Värmland Granskning av generella IT-kontroller. Revisionsrapport

Granskning av intern kontroll i kommunens centrala löneprocess

IT-säkerhet Externt och internt intrångstest

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket Solna. Datum Dnr

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Finansinspektionens författningssamling

pwc Vø,llentuna kotntntrít Mqi zo77 Visma Control Generella IT kontroller - Fredrik Dreimanis Johan Jelbring Hanna Altsäter

Granskning av bokslutsprocessen

Generella IT-kontroller uppföljning av granskning genomförd 2012

Finansinspektionens författningssamling

Granskning av den interna kontrollen avseende löner

Förklarande text till revisionsrapport Sid 1 (5)

Granskning av intern kontroll i löneprocessen

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Compliance och Internrevision kan lära av varandra. Louise Hedqvist, FCG Desirée Nordqvist, Länsförsäkringar AB

Övergripande granskning av ITverksamheten

IT-säkerhet Externt och internt intrångstest

Punkt 15: Riktlinje för internrevision

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10

Granskning av intern kontroll i huvudboksprocessen

Riktlinjer för internkontroll

Vår bedömning är att kommunstyrelsen i huvudsak har ändamålsenliga kontroller på plats

Finansinspektionens författningssamling

Granskning av IT-säkerhet

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök

Förstudie: Övergripande granskning av ITdriften

Granskning av IT-säkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Styrning av behörigheter

IT-säkerhet Internt intrångstest

IT-verksamheten - en uppföljning av tidigare granskning

Granskning av säkerheten i mobila enheter. Internrevisionsrapport

Förnyad certifiering av driftleverantörerna av Ladok

Revisionsrapport Övergripande granskning av intern kontroll Tandvårdsnämnden 2015

Granskning av IT- och informationssäkerhet

Intern kontroll och riskbedömningar. Strömsunds kommun

Stockholms Stadshus AB it-revision november 2016

Granskning intern kontroll

Håbo kommuns förtroendevalda revisorer

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Stadsrevisionen. Projektplan. Intern styrning och kontroll leverantörer. goteborg.se/stadsrevisionen

Angered. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

Intern styrning och kontroll. Verksamhetsåret 2009

PM efter genomförd löpande granskning

Kundfordringar en uppföljande granskning

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun.

Granskningsredogörelse Styrning och intern kontroll översiktlig granskning

Granskning av IT-säkerhet

Strategi Program Plan Policy >>Riktlinjer Regler. Lysekils kommuns. Riktlinjer för intern kontroll

Riktlinjer för IT-säkerhet i Halmstads kommun

Granskning av intern kontroll

Granskning av IT-säkerhet

Granskning av miljö- och hälsoskyddsnämndens interna kontroll avseende faktureringsrutiner

Granskning av intern kontroll

Östra Göteborg. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

Slutrapport. Certifiering LADOK Pontus Abrahamsson Lösningsarkitekt Säkerhet

Revisionsrapport Rutiner och intern styrning och kontroll 2016

Myndigheten för samhällsskydd och beredskaps författningssamling

Svar på revisionsskrivelse informationssäkerhet

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Löpande granskning av den interna kontrollen. vid Kostnämnden. Landstinget Västmanland. Revisionsrapport

Intern kontroll i kommunen och dess företag. Sollefteå kommun

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Vetenskapsrådets informationssäkerhetspolicy

Transkript:

Revisionsrapport IT-revision 2013 Solna Stad ecompanion Fredrik Dreimanis November 2013

Innehållsförteckning Inledning... 3 Avgränsning.3 Granskningens omfattning... 4 Sammanfattning... 5 Observationer och rekommendationer... 6 2 av 7

Inledning I samband med den finansiella revisionen av Solna Stad för verksamhetsåret 2013 har en IT-revision av applikationen ecompanion genomförts. Syftet med granskningen att bedöma förvaltning och intern kontroll för applikationen vilken innehåller data som är kritiska för den finansiella informationen. Granskningen har även syftat till att säkerställa att data hanteras fullständigt och riktigt. Baserat på ovan har följande revisionskriterier utarbetats för granskningen: Stödjer förvaltningen av kritiska applikationer kraven enligt ISA 315, avseende intern kontroll kopplat till kritiska IT-system. Finns det ändamålsenliga kontroller på plats avseende uppföljning och hantering av tredjepartsleverantörer. Granskningen har utförts genom intervju med Sam Pettersson och Åsa Fernqvist samt granskning av stödjande dokument. Avgränsning Granskningen avser att säkerställa att förvaltningen har god intern kontroll avseende applikationen ecompanion, vilken stödjer finansiell rapportering. Baserat på omfattningen av granskningen och vår revisionsstrategi kan våra observationer inte förväntas inkludera alla möjliga förbättringar i den interna kontrollen. 3 av 7

Granskningens omfattning Granskningen har utförts av Fredrik Dreimanis (PwC) under november 2013 och har omfattat nedanstående granskningsområden. Granskningsområde ISA 315 Förstå och utvärdera informationssystem och indirekta kontroller över IT Förändringshantering Åtkomst och behörigheter Loggning och uppföljning Kontrollmoment - En definierad IT-organisation finns på plats - Styrande dokument (ex. IT-policy, IT-strategi, etc.) finns på plats - Riskanalyser genomförs gällande driften av kritiska applikationer - Kritiska IT-projekt vilka påverkar applikationsförvaltningen finns tydligt definierade - Formell samlingsplan avseende applikationen finns upprättad - Rutiner och riktlinjer för Tredjepartsförvaltning finns definierade - Väsentlig systemdokumentation finns på plats - Interna kontroller finns definierade - Interna kontroller testas regelbundet - Rutiner för back up och avbrottshantering finns definierade - Formell förändringsprocess finns på plats - Förändringar är implementerade fullständigt och riktigt i produktionsmiljön - Formell behörighetsprocess finns på plats - Periodisk genomgång av användare och deras respektive behörigheter - Hantering av gruppkonton är begränsad och tydliggjord - Aktivitet av tredjepartsanvändare granskas regelbundet - Loggfunktionalitet finns aktiverad i kritiska applikationer - Regelbundna logguttag och analyser av utförda aktiviteter avseende tredjepartsanvändare genomförs Granskningen har omfattat behörigheter och förändringshantering för följande applikationer: Ref. nr. Applikation 1 ecompanion 4 av 7

Sammanfattning Baserat på genomförd granskning noterades att Solna Stad har en tydlig förvaltning avseende applikationen ecompanion där bland annat roller och ansvar finns definierade. Dock noterades ett antal områden där Solna Stad har möjlighet att förstärka och förbättra rutiner och processer i syfte att stärka den interna kontrollen. Solna Stad bör säkerställa att det finns en tydlig och formaliserad samverkan med tredjepartsleverantören Evry, där avtalsefterlevnad kontinuerligt följs upp. Vidare bör Solna Stad säkerställa att återläsning av data genomförs i syfte att säkerställa redundans för applikationen. Solna Stad bör även analysera behovet av en testmiljö vilken kan behövas vid test av förändringar samt för att säkerställa redundans. Totalt noterades fem observationer avseende intern kontroll kopplat till applikationen ecompanion. Resultat av granskningen Nedan har observationer för granskningen sammanställts på aggregerad nivå. Observationerna har bedömts efter dess väsentlighet. Graderingen illustreras med hjälp av följande definition: Hög En brist med stor påverkan på system, processer eller intern kontroll vilken kan medföra att verksamheten exponeras för betydande förluster eller väsentliga fel i den finansiella rapporteringen. Medium En brist med påverkan på system, processer eller intern kontroll som kan medföra att verksamheten exponeras för förluster eller betydande fel i den finansiella rapporteringen. Låg En mindre brist eller fel där risken för otillbörlig användning och/eller felaktigheter i bokföringen är lägre, men där det ändå bedöms finnas utrymme för förbättringar. Ref. Observation Prioritet 1. Avsaknad av uppföljning gällande leverans från tredjepart (Evry). Medium 2. Avsaknad av systemdokumentation. Låg 3. Avsaknad av formaliserad testprocess gällande förändringar och testmiljö. Medium 4. Avsaknad av återläsningstest. Medium 5. Avsaknad av formaliserad rutin för periodisk granskning av behörigheter. Medium För mer information och detaljer avseende respektive observation se avsnittet Observationer och rekommendationer nedan. 5 av 7

Observationer och rekommendationer Nedan specificeras respektive observation i detalj med relaterad risk och med den rekommendation PwC bedömer som lämplig i syfte att begränsa risken. Ref. Observation Rekommendation 1. Avsaknad av uppföljning gällande leverans från tredjepart (Evry). Det noterades att Solna Stad idag inte har någon formell uppföljning av leveransen från driftspartnern Evry gällande ecompanion. Risk: Avsaknad av formell uppföljning gällande leverans från tredjepart ökar risken för felaktig hantering av kritiska applikationer. Felaktig hantering kan påverka transaktioner och data vilken är kritisk för organisationen samt i vissa fall data vilken är kritisk för den finansiella rapporteringen. Solna Stad bör implementera en formell rutin där kontinuerliga avstämningar med Evry genomförs i syfte att säkerställa att deras leverans genomförs i enlighet med gällande avtal. Exempelvis bör nyckeltal definieras, som uppföljning av: - Tillgänglighet, - Incidenter, - Responstider, - Servicegrad, - Efterlevnad av regler och riktlinjer, - Förändrings-/applikations hantering. Avstämningspunkter med Evry bör tydligt dokumenteras. Dokumentationen bör arkiveras i syfte att skapa spårbarhet i genomförda aktiviteter och stödja god intern kontroll. 2. Avsaknad av systemdokumentation. Det noterades att ingen systemdokumentation finns på plats avseende applikationen ecompanion. Risk: Avsaknad av tydlig dokumentation avseende kritiska system försvårar spårbarheten i förvaltningen. Otydlig förvaltning kan påverka den operativa effektiviteten i applikationen. Prioritet: Låg Solna Stad bör säkerställa att systemdokumentation är ändamålsenlig i förhållande till gällande applikation och förvaltning. 6 av 7

Ref. Observation Rekommendation 3. Avsaknad av testmiljö samt formaliserad testprocess gällande förändringar. Det noterades att Solna Stad inte har en formaliserad process gällande test av förändringar till applikationen ecompanion. Vidare noterades att ingen testmiljö finns på plats för applikationen. Risk: Avsaknad av spårbarhet gällande test ökar risken för otestade och/eller felaktiga förändringar vilka implementeras i produktionsmiljön. Felaktiga förändringar vilka implementeras i produktionsmiljön kan påverka funktioner vilka är kritiska för data vilken påverkar den finansiella rapporteringen Solna Stad bör definiera och dokumentera en process gällande hur förändringar till applikationen ecompanion ska testas. Processen bör säkerställa, som minimum, att följande aktiviteter genomförs: Test av system kompabilitet, Test av slutanvändare. Tester bör säkerställa att kritiska funktioner i processen fungerar i enlighet med gällande rutiner. Vidare bör detta dokumenteras. Solna Stad bör även upprätta en testmiljö för att genomföra relevanta tester och återläsningar för applikationen. 4. Avsaknad av återläsningstest. Det noterades att ingen återläsning av data backuper för applikationen ecompanion har genomförts under verksamhetsåret 2013 Risk: Avsaknad av återläsning gällande data ökar risken för att data inte är redundant. Avsaknad av redundant data kan påverka information vilken är kritisk för den finansiella rapporteringen. 5. Avsaknad av formaliserad rutin för periodisk granskning av behörigheter. Det noterades att ingen formaliserad periodisk granskning av användare i applikationen ecompanion genomförs. Dock noterades att Solna Stad har en automtisk kontroll vilken inaktiverar användare som inte varit aktiva de senaste 90 dagarna. Risk: Avsaknad av granskning gällande behörigheter ökar risken för felaktig eller bedräglig åtkomst till kritisk data. Felaktig eller bedräglig åtkomst till kritisk data kan påverka transaktioner eller information vilken är kritisk för den finansiella rapporteringen. Solna Stad bör säkerställa att en formaliserad och implementerad rutin finns på plats avseende återläsning. Där, som minimum, data återläses årligen i syfte att säkerställa redundans i data. Solna Stad bör implementera en kontroll vilken säkerställer att användare har rätt behörighet. Det vill säga åtkomst till applikationen ecompanion i enlighet med sina arbetsuppgifter. Exempelvis kan en lista på samtliga aktiva användare med åtkomst till ecompanion extraheras där en genomgång av dessa genomförs i syfte att validera att behörigheter är fullständigt och riktigt tilldelade. Vidare bör Solna Stad analyser om det finns möjlighet att öka frekvensen för den automatiska inaktiveringen till 30 dagar. 7 av 7

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss