Revisionsrapport Uppföljningsrapport IT-revision 2013 Solna Stad Raindance Fredrik Dreimanis November 2013 1 av 10
Innehållsförteckning Inledning... 3 Granskningens omfattning... 4 Sammanfattning... 5 Resultat och status på observationer... 6 Appendix 1 Intervjuade personer 2 av 10
Inledning I samband med den finansiella revisionen av Solna Stad 2013 har PwC genomfört en uppföljning av de observationer vilka identifierades i samband med IT-revisionen 2013. Syftet med uppföljningen är att identifiera vilka förändringar som Solna Stad har genomfört under 2013 och hur detta har påverkat föregående års observationer. Intern kontroll är en process som påverkas av kommunen, vilken utformas för att ge en rimlig försäkran om att verksamhetens mål uppnås inom följande områden: Ändamålsenlig och effektiv verksamhet, Tillförlitlig ekonomisk och verksamhetsmässig rapportering, Efterlevnad av tillämpliga lagar och förordningar. Granskningen som avrapporteras i denna rapport är en uppföljning av den rapport vilken sammanställdes som resultat av IT-revisionen 2012, följande revisionsfrågor var styrande för den granskningen/rapporten: Stödjer förvaltningen av kritiska applikationer kraven enligt ISA 315 avseende internkontroll kopplat till kritiska IT-system. Finns det ändamålsenliga kontroller på platsavseende uppföljning och hantering för tredjepartsleverantörer. Avgränsning Granskningen avser endast att följa upp observationer vilka identifierats föregående år. Ingen validering eller bedömning av kontroller vilka var effektiva föregående år kommer att genomföras. För mer information gällande metod och intervjuade personer se Appendix A Intervjuade personer. 3 av 10
Granskningens omfattning Under föregående år granskning noterades totalt sex avvikelser för applikationen Raindance: Applikation Antal Observationer Raindance 6 Totalt antal observationer 6 Observationer och status per 2013-11-30 återfinns i detalj under kapitel Resultat och status på observationer. PwC har under september - november 2013 följt upp ovanstående observationer med relevant personal på inom Solna Stad, se Appendix 1- Intervjuade personer för mer information. 4 av 10
Sammanfattning Genom intervju och genomgång av dokumentation kan PwC konstatera att åtgärder har initierats för att hantera observationerna. Av totalt 6 observationer från föregående år har aktiviteter initierats för 4 (67%) av dessa i syfte att åtgärda bristen och 2 (33%) observationer bedöms vara åtgärdade. För mer information se tabell nedan. 7 6 5 4 3 6 2 Åtgärdade Pågående aktivitet 2 1 4 Ej åtgärdade observationer 0 Resultat 2012 Resultat Uppdatering 2013 Nedan tabell presenterar en sammanfattning av observationerna från föregående år med status för 2013: Ref. Observation Status 2013 1. Samverkansmodell med tredjepart är inte fullt implementerad. Åtgärdad 2. Avsaknad av uppföljning gällande leverans från tredjepart (Evry). 3. Avsaknad av kontroller och loggning gällande åtkomst från extern part. Pågående Pågående 4. Avsaknad av periodisk granskning av användare. Pågående 5. Återläsningstest har inte genomförts avseende data från Raindance. 6. Systemdokumentation är inte uppdaterad enligt gällande applikation och organisation. Pågående Åtgärdad För mer information gällande respektive observation se avsnitt Resultat och status på observationer nedan. 5 av 10
Resultat och status på observationer Observationer från föregående år har granskats genom intervju samt i förekommande fall via genomgång av dokumentation. Baserat på detta resultat har respektive observation graderats med en status. Observationerna har graderats enligt följande modell: - Observationen har inte åtgärdats sedan föregående års granskning vilket medför att relaterad risk och rekommendation kvarstår. - Aktiviteter och åtgärder finns planerade eller är under genomförande, dock kvarstår risken då åtgärderna ännu inte är på plats. - Åtgärder och aktiviteter för att begränsa risken har implementerats och underlag har granskats vilket säkerställer operativ effektivitet i kontrollen. Nedan återfinnas resultatet av den uppföljningsgranskning som genomförts per observation. Ref. Observation Status 2013 1. Samverkansmodell med tredjeparter är inte fullt implementerad. Det noterades att modellen för samverkan mellan Solna Stad, tredjepart för systemförvaltning (CGI) och tredjepart för drift (Evry) är formaliserad men ej fullt ut tillämpad. Solna Stad arbetar fortfarande med att hitta former och forum för att tydligt arbeta i samverkan med tredje part. Risk: Styrmodeller som inte efterlevs ökar risken för felaktig hantering vilket kan påverka den operativa nyttan med applikationen samt i extrema avseende transaktioner och data vilken är kritisk för den finansiella rapporteringen. Prioritet: Låg En samverkansmodell finns nu utarbetat och accepterad av samtliga parter, det återstår endast formella signaturer. Modellen definierar hur samtliga inblandade parter inom förvaltningen av Raindance ska samverka. PwC har i samband med granskningen erhållit relevanta underlag avseende samverkansmodellen. Slutsats: Baserat på genomförd granskning bedöms observationen som åtgärdad då samverkansmodellen är formellt accepterad och implementerad. 6 av 10
Ref. Observation Status 2013 2. Avsaknad av uppföljning gällande leverans från tredjepart (Evry). Det noterades att Solna Stad idag inte har någon formell uppföljning av leveransen från driftspartnern Evry. Risk: Avsaknad av formell uppföljning gällande leverans från tredjepart ökar risken för felaktig hantering av kritiska applikationer. Felaktig hantering kan påverka transaktioner och data vilken är kritisk för organisationen samt i extrema avseende data vilken är kritisk för den finansiella rapporteringen. Prioritet: Medium Det noterades att IT avdelningen genomför månatliga uppföljningsmöten med Evry avseende leveransen av IT till Solna Stad. I den utvecklingsplan som finns ska Evry framgent även ha uppföljningsmöten med respektive förvaltare i syfte att få en effektiv förvaltning av kritiska applikationer och system inom Solna Stad. Slutsats: Baserat på att aktiviteter har initierats för att förbättra och förstärka förvaltningen bedöms observationen som delvis åtgärdad. Solna Stad rekommenderas att fortsätta arbetet med förvaltningsmodellen. 3. Avsaknad av kontroller och loggning gällande åtkomst från extern part. Det noterades att konsulter och driftstekniker från tredjepart (CGI kundsupport och Evry driftstekniker) har åtkomst till applikationen Raindance. Inga övervakande kontroller vilka säkerställer spårbarhet samt ändamålsenlig aktivitet från tredjepart finns på plats. Risk: Avsaknad av kontroll gällande aktivitet utförd av tredjepart ökar risken för felaktiga eller bedrägliga transaktioner. Felaktiga eller bedrägliga transaktioner kan påverka funktioner och data vilka är kritisk för den finansiella informationen. Prioritet: Medium Det noterades att Solna Stad arbetar med att klassificera information och säkerhetsklassa den. Baserat på detta kommer ytterligare arbete med logisk säkerhet att granskas, genom detta kommer även hantering av priviligerade användare att analyseras. Slutsats: Baserat på att det finns initiativ för att hantera risken avseende priviligerade användare bedöms observationen som delvis åtgärdad. Solna Stad rekommenderas att fortsätta arbetet med att klassa information och identifiera kontroller för priviligerade användare. 7 av 10
Ref. Observation Status 2013 4. Avsaknad av periodisk granskning av användare. Det noterades att ingen periodisk granskning av användare i applikationen Raindance genomförs i syfte att säkerställa fullständighet och riktighet i behörigheter och åtkomst till applikationen. Risk: Avsaknad av granskning gällande behörigheter ökar risken för felaktig eller bedräglig åtkomst till kritisk data. Felaktig eller bedräglig åtkomst till kritisk data kan påverka transaktioner eller information vilken är kritisk för den finansiella rapporteringen. Prioritet: Medium Det noterades att Solna Stad har genomför en granskning av användarbehörighet och att samtliga användare har rätt roller. Dock har ingen dokumentation upprättats samt att detta inte är en formell kontroll vilken utförs kontinuerligt under året. Slutsats: Baserat på att en granskning har genomförts bedöms kontrollen som delvis åtgärdad. Dock rekommenderas Solna Stad att formalisera och dokumentera kontrollen. 5. Återläsningstest har inte genomförts avseende data från Raindance. Det noterades att ingen återläsning av backup data för applikationen Raindance har genomförts under verksamhetsåret 2012. Dock planeras detta under verksamhetsår 2013 enligt verksamhetsplanen. Risk: Avsaknad av återläsning gällande data ökar risken för att data inte är redundant. Avsaknad av redundant data kan påverka information vilken är kritisk för den finansiella rapporteringen. Prioritet: Medium Det noterades att Solna Stad har genomfört ett återläsningstest i samband med att ett tekniskt stopp i produktionsmiljön. I samband med detta genomfördes en återläsning utan problem. Dock upprättades ingen dokumentation samt att ingen instruktion finns på plats. Slutsats: Baserat på att en återläsning har genomförts bedöms observationen som delvis åtgärdad. Dock rekommenderas Solna Stad att genomföra formella och dokumenterade återläsningstester. 8 av 10
Ref. Observation Status 2013 6. Systemdokumentation är inte uppdaterad enligt gällande applikation och organisation. Det noterades att delar av systemdokumentationen inte är uppdaterad i enlighet med gällande förvaltning. Bland annat beror detta på byte av driftsleverantören samt införande av en ny förvaltningsmodell (PM3). I samband med att förvaltningsmodellen implementeras fullt kommer dokumentation avseende applikationen Raindance och förvaltningen att uppdateras. Risk: Avsaknad av tydlig dokumentation avseende kritiska system försvårar spårbarheten i förvaltning. Otydlig förvaltning kan påverka den operativa effektiviteten i applikationen. Prioritet: Låg Det noterades att Solna Stad har systemdokumentation avseende applikationen Raindance vilken återfinns hos förvaltningspartner (CGI och Evry). Slutsats: Baserat på genomförd granskning bedöms observationen som åtgärdad då system dokumentation finns på plats. 9 av 10
Appendix 1 Intervjuade personer I samband med revisionen har intervjuer genomförts med nyckelpersoner avseende förvaltningen av Raindance. Följande personer intervjuades: Maria Sundin Teknisk specialist inom Solna Stad, Peter Malmberg IT-konsult. 10 av 10