Revision av den interna kontrollen kring uppbördssystemet REX

Relevanta dokument
IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Granskning av generella IT-kontroller för PLSsystemet

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket Solna. Datum Dnr

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Granskning av IT-säkerhet

Granskning av intern styrning och kontroll vid Statens servicecenter

Revisionsrapport Rutiner och intern styrning och kontroll inom redovisning 2017

Nr Iakttagelse Risk Risknivå Försäkringskassans svar till Riksrevisionen dnr

Västerås stad. Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Länsstyrelsen i Kronobergs läns hantering av länsstyrelsernas samordnade löneservice

Revisionsrapport. IT-revision Solna Stad ecompanion

Granskning av IT intern kontroll

Kronofogdemyndigheten

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Bolagsspecifika resultat Sektion 3. Page 1

Stockholms Stadshus AB. Granskning av IT-intern kontroll 11 December 2014

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Granskning av IT-säkerhet

Löpande granskning av rutin för upphandling

Revisionsrapport Årsredovisning 2017

Uppföljningsrapport IT-generella kontroller 2015

Intern styrning och kontroll vid Sameskolstyrelsen samt årsredovisningen 2012

Revisionsrapport Rutiner och intern styrning och kontroll 2016

Granskning av intern kontroll i kommunens huvudboksprocess

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning

Granskning av intern kontroll i lönehanteringen

Revisionsrapport Årsredovisning 2016

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Granskning av Försvarshögskolan 2010

Styrning av behörigheter

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Avgiftsuttag och intern styrning och kontroll avseende geografisk information och fastighetsinformation

Stockholms Stadshus AB it-revision november 2016

Revisionsrapport. Skatteverkets årsredovisning 2010

Granskning av intern kontroll i löneprocessen

Revisionsrapport avseende granskning av Folke Bernadotteakademin

Region Skåne Granskning av IT-kontroller

Angered. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

Uppföljning av tidigare granskningar

Revisionsrapport Bristande rutiner och intern styrning och kontroll i uppföljning av lämnade bidrag 2016

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Kungälvs kommun. Granskning av intern kontroll inom ekonomiprocesser 2018

Revisionsrapport. Genomförande av Kvalitetsmätning. Inledning Tullverket Box Stockholm.

Granskning av intern kontroll i huvudboksprocessen

Uppföljningsrapport IT-revision 2013

Revisionsrapport. Granskning av nystartsjobb. Ramtiden felaktigt beräknad. Arbetsförmedlingen STOCKHOLM

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök

Vår bedömning är att kommunstyrelsen i huvudsak har ändamålsenliga kontroller på plats

Östra Göteborg. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

Förklarande text till revisionsrapport Sid 1 (5)

Revisionsrapport. Löpande granskning Sammanfattning. Lantmäteriet Gävle Datum Dnr

Migrationsverket årsredovisning 2013

Årsrapport 2014 Kulturnämnden avseende stadsarkivet

Nr Iakttagelse Risk Risknivå Pensionsmyndighetens svar till Riksrevisionen , dnr VER

Revisionsrapport nr 1, 2012 R Wallin. Vadstena kommun. Bisysslor bland anställda

Intern styrning och kontroll i upphandlings- och inköpsprocessen

Skatteverkets årsredovisning 2012 samt granskning av uppbördsprocesser

Revisionsrapport. Revisionsrapport rörande löpande granskning av Polisen Granskning av ekonomiadministration slutsatser

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004

N v. För kdnnedom till: Kommunfullmäktiges presidium, kommundirektören, respektive sektorschef samt ekonomichefen.

KUNGSBACKA KOMMUN Byggnadsnämnden. PROTOKOLLSUTDRAG Datum

Finansinspektionens författningssamling

Granskning av utbetalningar

Svar på revisionsskrivelse informationssäkerhet

Sameskolstyrelsen årsredovisning 2014

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Revisionsrapport. Uppföljande granskning av internkontrollen i samlingarna. 1. Sammanfattning

Revisionsrapport. Skogsstyrelsens delårsrapport Sammanfattning Skogsstyrelsen Jönköping.

INFORMATIONSSÄKERHETSGRANSKNING AV PARAPLYSYSTEMETS APPLIKATION PARASOL

Revisionsrapport 7 / 2010 Genomförd på uppdrag av revisorerna november Haninge kommun. Granskning av säkerhet i löneutbetalningar

Finansinspektionens författningssamling

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll

Granskning av IT-säkerheten inom Lunds kommun

Uppföljning avseende granskning av attestrutiner

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Svar till kommunrevisionen avseende genomförd IT-revision

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning Sammanfattning

Revisionsrapport Rutiner och intern styrning och kontroll 2018

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Löpande granskning av den interna kontrollen. vid Kostnämnden. Landstinget Västmanland. Revisionsrapport

Riksantikvarieämbetets årsredovisning 2014

Finansinspektionens författningssamling

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Revisionsrapport. Försvarsmaktens årsredovisning Sammanfattning Försvarsmakten Stockholm.

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Granskning av behörigheter till journalsystemet

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport. Linköpings Universitets årsredovisning Sammanfattning

Revisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning

IT-verksamheten - en uppföljning av tidigare granskning

Landskrona stad. Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten.

Transkript:

1 Revision av den interna kontrollen kring uppbördssystemet REX 1 Inledning Riksrevisionen har som ett led i den årliga revisionen 2012 av Kronofogdemyndigheten (KFM) granskat den interna kontrollen kring uppbördssystemet REX. Granskningen har omfattat en kartläggning av KFM:s processer för programförändringar, behörighetshantering och driftsrutiner för systemet REX, samt identifiering och testning av kontroller i dessa system. Kartläggningen innefattar även kontroller för att säkerställa att inga förändringar sker i överföringen av information från REX till huvudboken i ekonomisystemet Agresso. r och förbättring. I granskningen har Riksrevisionen biträtts av Ernst & Young AB (E&Y). Granskningen har resulterat i iakttagelser vilka Riksrevisionen vill fästa Kronofogdemyndighetens uppmärksamhet på i denna revisionsrapport. Riksrevisionen önskar information senast 2013-05-01 med anledning av iakttagelserna i rapporten. Som framgår av Ernst & Youngs granskning (bilaga 1) bedöms KFM i flera avseenden, ha ändamålsenligt utformade kontroller men att det i vissa avseenden finns utrymme för förbättring. Innehållsförteckning 1 Inledning... 1 2 r och rekommendationer... 2 2.1 Prioritet 1 risken bör hanteras snarast... 2 2.1.1 Inaktuella användare med höga behörigheter förekommer... 2 2.2 Prioritet 2 risken bör hanteras inom snar framtid... 3 2.2.1 Regelbundna genomgångar av användare är inte ändamålsenligt utformade. 3 2.2.2 Test av programförändringar genomförs inte alltid... 4 2.2.3 Avsaknad av specifikation kring säkerhetskopiering och återläsningstester... 4 2.3 Prioritet 3 förbättringsområde som bör hanteras på sikt... 5 2.3.1 Begränsad spårbarhet i processen för behörighetshantering... 5 08-5171 40 00 WWW..SE

2 2 r och rekommendationer Nedan redovisas översiktligt de iakttagelser som noterats. I bilaga 1 sker en fördjupad redovisning. rna nedan klassificeras utifrån: Prioritet 1 risken bör hanteras snarast Prioritet 2 risken bör hanteras inom snar framtid Prioritet 3 förbättringsområde som bör hanteras på sikt 2.1 Prioritet 1 risken bör hanteras snarast 2.1.1 Inaktuella användare med höga behörigheter förekommer Det görs inte någon regelbunden genomgång av användare med höga behörigheter, dvs. användare med åtkomst direkt till stordatormiljön genom behörighetsmodulen RACF. Det tillämpas inte heller någon process för upplägg eller borttag av sådana användare. Vidare noterades ett antal inaktiva konton med höga behörigheter. Risk prioritet 1 En avsaknad av regelbundna genomgångar av användare med höga behörigheter minskar möjligheten att upptäcka och åtgärda felaktigheter. Innebär en ökad risk för obehörig åtkomst eller att användare av misstag eller uppsåtligen modifierar data i systemet utanför sina befogenheter. KFM rekommenderas ställa krav mot Skatteverket (SKV), som sköter administrationen av höga behörigheter, att fastställa och införa rutiner för upplägg, borttag och regelbundna genomgångar av användare med höga behörigheter. Dessa rutiner bör utformas så att de säkerställer spårbarhet för att möjliggöra uppföljningar från KFM. 08-5171 40 00 WWW..SE

3 2.2 Prioritet 2 risken bör hanteras inom snar framtid 2.2.1 Regelbundna genomgångar av användare är inte ändamålsenligt utformade Den genomgång av befintliga användare i REX som genomförs årligen utgår från personallistor och inte från användarlistor som dragits ut från systemet. Detta kan resultera i att genomgången inte inkluderar samtliga användare i REX då det exempelvis kan ligga kvar gamla användare som inte längre finns med på personallistorna. I granskningen noterades att det förekom inaktuella användarkonton avseende vissa grupper i REX. Eftersom genomgången endast berör anställda på KFM inkluderas inte heller de användare i REX som lagts till från SKV. I granskningen noterades också att gruppen för behörighetsadministration på KFM även har möjlighet att lägga upp behörigheter till anställda på SKV trots att användare från SKV inte längre skall ha åtkomst till REX. Risk prioritet 2 Brister i regelbundna användargenomgångar kan resultera i att kvarliggande och inaktuella konton inte upptäcks eller att användare tilldelas högre behörigheter än vad deras arbetsuppgifter kräver. Detta ökar risken för obehörig åtkomst eller att användare av misstag eller uppsåtligen modifierar data i systemet utanför sina befogenheter. Att gruppen för behörighetsadministration kan tilldela inte bara anställda på KFM behörigheter utan även anställda på SKV minskar kontrollen över behörigheterna vilket bidrar till ökad risk för bland annat obehörig åtkomst. KFM rekommenderas säkerställa att gruppen för behörighetsadministration på KFM inte har möjlighet att lägga upp behörigheter för anställda på SKV. Eftersom det i dagsläget inte är möjligt att på ett enkelt sätt dra ut listor med samtliga användare i REX, något som skulle möjliggöra ändamålsenliga genomgångar av användare, rekommenderas KFM att sammanställa en lista över de grupper av användare som har särskilda behörigheter eller som av andra skäl bedöms som särskilt viktiga att regelbundet kontrollera. Som ett komplement till de genomgångar som görs i dagsläget rekommenderas KFM att ta fram en rutin för regelbundna genomgångar av användarna på denna lista. 08-5171 40 00 WWW..SE

4 2.2.2 Test av programförändringar genomförs inte alltid I granskningen noterades att testrutinerna i programförändringsprocessen var bristfälliga på främst två punkter: Det finns inga krav från KFM:s sida som säkerställer att acceptanstester, dvs tester som beställaren gör på den färdigutvecklade programförändringen, genomförs. SKV har därför inga fastställda rutiner för när och på vilket sätt KFM ska involveras för att genomföra acceptanstester. Detta medför att större förändringar inte alltid acceptanstestas och mindre förändringar aldrig acceptanstestas. Mindre programförändringar testas endast vid de tillfällen då utvecklaren bedömer det nödvändigt och denna bedömning kontrolleras eller dokumenteras inte. Risk Prioritet 2 Bristfälliga testrutiner ökar risken för driftsättning av otillfredsställande eller felaktiga programförändringar vilket kan äventyra systemets produktionsmiljö och orsaka oväntade avbrott i verksamheten. KFM rekommenderas att ställa krav på SKV, som hanterar alla programförändringar, att tydliggöra när tester bör genomföras på förändringar av mindre programförändringar samt dokumentera och kommunicera detta till samtliga berörda utvecklare. Vidare rekommenderas KFM att se över den dokumenterade processen för förändringshantering som KFM delar med SKV och säkerställa att rutiner finns för acceptanstester för alla typer av förändringar. 2.2.3 Avsaknad av specifikation kring säkerhetskopiering och återläsningstester I KFM:s interna styrdokument finns riktlinjer kring hur säkerhetskopiering och återläsningstester ska hanteras. I granskningen noterades dock att inga specifika krav gällande detta finns dokumenterade i det serviceavtal som KFM har med SKV. Risk prioritet 2 Bristande rutiner kring säkerhetskopiering och återläsningstester kan resultera i förlust av för verksamheten viktig information. Avsaknad av formell kravspecifikation i avtalet med driftleverantören ökar risken för att överenskomna rutiner inte efterlevs. 08-5171 40 00 WWW..SE

5 KFM rekommenderas att se över de brister som avtalet med SKV har och säkerställa att de åtgärdas i den upphandling som nu, enligt uppgift, pågår av driftleverantör. Avtalet bör bl.a. specificera: Vilka delar av systemet som omfattas av rutinerna för säkerhetskopiering Med vilken frekvens säkerhetskopiering ska göras Hur säkerhetskopiorna ska förvaras Hur länge säkerhetskopiorna ska förvaras Med vilken frekvens återläsningstester ska göras 2.3 Prioritet 3 förbättringsområde som bör hanteras på sikt 2.3.1 Begränsad spårbarhet i processen för behörighetshantering I granskningen noterades svårigheter med att hitta beställningsunderlag för flertalet användare i REX. Detta gör det svårt att bekräfta att rutinerna som finns för upplägg och ändring av användare efterlevs. En förklaring till denna begränsade spårbarhet är emellertid att rutinen för arkivering av beställningsblanketter infördes i slutet av 2011 och därmed är relativt ny. Tidigare har blanketterna arkiverats av respektive personalchef men den nya rutinen innebär att en behörighetssamordnare hanterar arkiveringen centralt. Vid granskningstillfället bekräftades att arbete pågår med att samla in blanketterna från personalcheferna för central arkivering. Risk prioritet 3 Bristande spårbarhet i behörighetshanteringen som till stor del kontrolleras genom manuella kontroller ökar risken för att kontrollerna inte utförs enligt beskrivning. Detta kan leda till att felaktiga behörigheter läggs upp. Bristande spårbarhet kan också försvåra arbetet med att upptäcka felaktigheter i processen och härleda dessa till rätt grundorsak. KFM rekommenderas att fortsätta arbetet med insamlandet av beställningsblanketter för att säkerställa att processen går att spåra. 08-5171 40 00 WWW..SE

6 Ansvarig revisor Lars Nordstrand har beslutat i detta ärende. Revisionsledare Emma Karlemo har varit föredragande. Lars Nordstrand Emma Karlemo Bilaga 1 Ernst & Young AB, Granskning med fokus på IT risker, Kronofogdemyndigheten Kopia för kännedom: Regeringen Finansdepartementet Finansdepartementet, budgetavdelningen 08-5171 40 00 WWW..SE