Uppföljningsrapport IT-revision 2013

Relevanta dokument
Revisionsrapport. IT-revision Solna Stad ecompanion

Uppföljningsrapport IT-generella kontroller 2015

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

Granskning av applikationenn Basware oktober 2012*

Granskning av generella IT-kontroller för PLSsystemet

Bolagsspecifika resultat Sektion 3. Page 1

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Granskning av intern kontroll i kommunens huvudboksprocess

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Region Skåne Granskning av IT-kontroller

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Uppföljning av tidigare granskningar

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Svar till revisorerna angående revisionsrapport, Granskning av ITsäkerhet

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Granskning av intern kontroll i lönehanteringen

Generella IT-kontroller uppföljning av granskning genomförd 2012

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Datum Kommunrevisionen: Granskning av generalla IT-kontroller 2013

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Nr Iakttagelse Risk Risknivå Pensionsmyndighetens svar till Riksrevisionen , dnr VER

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10

Landskrona stad. Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten.

Granskning av IT-säkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Angered. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

Övergripande granskning av ITverksamheten

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Kundfordringar en uppföljande granskning

Granskning av bokslutsprocessen

Vår bedömning är att kommunstyrelsen i huvudsak har ändamålsenliga kontroller på plats

Granskningsredogörelse Styrning och intern kontroll översiktlig granskning

Granskning av IT intern kontroll

Granskning av bokslutsprocessen

Kommunrevisionen: granskning av generella IT-kontroller 2014

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Övergripande granskning IT-driften

Revisionsrapport. Nerikes Brandkår. Granskning av ärendeberedning till Direktionen Anders Pålhed

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll

Revisionsrapport Självdeklaration Intern Kontroll

Granskning av intern styrning och kontroll vid Statens servicecenter

Dokument: Objektägare-ITs placering. Författare Malin Zingmark, Förnyad förvaltning

Östra Göteborg. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

Internrevisionen Förslag till revisionsplan för år 2008 Christina Wannehag Dnr B 5 350/08

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

REVISIONSPLAN FÖR ÅR 2012

Revision av den interna kontrollen kring uppbördssystemet REX

IT-säkerhet Externt och internt intrångstest

Revisionsrapport. Internkontroll - Finspångs kommun år Ref R Wallin

Västerås stad. Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning

Revisionsrapport Rutiner och intern styrning och kontroll 2016

IT-verksamheten - en uppföljning av tidigare granskning

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport

Granskning av den interna kontrollen avseende löner

Granskning av Intern kontroll

Intern styrning och kontroll. Verksamhetsåret 2009

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Landstinget i Värmland Granskning av generella IT-kontroller. Revisionsrapport

Punkt 15: Riktlinje för internrevision

Granskning av kommunens IT-säkerhet 2017

Granskning av miljö- och hälsoskyddsnämndens interna kontroll avseende faktureringsrutiner

Nr Iakttagelse Risk Risknivå Försäkringskassans svar till Riksrevisionen dnr

Granskning av Samordningsförbundet i Örnsköldsvik Revisionsrapport. LANDSTINGETS REVISORER Revisionskontoret

Intern kontroll och riskbedömningar. Strömsunds kommun

Samordningsförbundet Norra Dalsland. Revisionsrapport Styrelsens ansvar KPMG AB. Antal sidor: 6. FörvrevRapport08.doc

Guld- och valutareservsförvaltningen

Granskning av intern kontroll

Grundläggande granskning av samarbetsnämnd för löneservice

Lokala regler och anvisningar för intern kontroll

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket Solna. Datum Dnr

Rapport Internkontroll Kommunstyrelsen

Granskning av Samordningsförbundet i Ånge Revisionsrapport. LANDSTINGETS REVISORER Revisionskontoret

pwc Vø,llentuna kotntntrít Mqi zo77 Visma Control Generella IT kontroller - Fredrik Dreimanis Johan Jelbring Hanna Altsäter

Granskning av IT-säkerhet

Årsrapport NU-sjukvården Diarienummer REV

Internrevision miljö- och kvalitet - enligt ISO och ISO 9001

IT-säkerhet Internt intrångstest

Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning

Håbo kommuns förtroendevalda revisorer

Hantering av IT-risker

Ekonomistyrningsverkets cirkulärserie över föreskrifter och allmänna råd

Stadsrevisionen. Projektplan. Intern styrning och kontroll leverantörer. goteborg.se/stadsrevisionen

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Policy för internkontroll för Stockholms läns landsting och bolag

Intern kontroll enligt koden.

Förnyad certifiering av driftleverantörerna av Ladok

Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009

Revisionsberättelse för Statens Skolverk 2016

Förklarande text till revisionsrapport Sid 1 (5)

Ansvarsutövande: Lantmäterinämnden Sundsvalls kommun

Transkript:

Revisionsrapport Uppföljningsrapport IT-revision 2013 Solna Stad Raindance Fredrik Dreimanis November 2013 1 av 10

Innehållsförteckning Inledning... 3 Granskningens omfattning... 4 Sammanfattning... 5 Resultat och status på observationer... 6 Appendix 1 Intervjuade personer 2 av 10

Inledning I samband med den finansiella revisionen av Solna Stad 2013 har PwC genomfört en uppföljning av de observationer vilka identifierades i samband med IT-revisionen 2013. Syftet med uppföljningen är att identifiera vilka förändringar som Solna Stad har genomfört under 2013 och hur detta har påverkat föregående års observationer. Intern kontroll är en process som påverkas av kommunen, vilken utformas för att ge en rimlig försäkran om att verksamhetens mål uppnås inom följande områden: Ändamålsenlig och effektiv verksamhet, Tillförlitlig ekonomisk och verksamhetsmässig rapportering, Efterlevnad av tillämpliga lagar och förordningar. Granskningen som avrapporteras i denna rapport är en uppföljning av den rapport vilken sammanställdes som resultat av IT-revisionen 2012, följande revisionsfrågor var styrande för den granskningen/rapporten: Stödjer förvaltningen av kritiska applikationer kraven enligt ISA 315 avseende internkontroll kopplat till kritiska IT-system. Finns det ändamålsenliga kontroller på platsavseende uppföljning och hantering för tredjepartsleverantörer. Avgränsning Granskningen avser endast att följa upp observationer vilka identifierats föregående år. Ingen validering eller bedömning av kontroller vilka var effektiva föregående år kommer att genomföras. För mer information gällande metod och intervjuade personer se Appendix A Intervjuade personer. 3 av 10

Granskningens omfattning Under föregående år granskning noterades totalt sex avvikelser för applikationen Raindance: Applikation Antal Observationer Raindance 6 Totalt antal observationer 6 Observationer och status per 2013-11-30 återfinns i detalj under kapitel Resultat och status på observationer. PwC har under september - november 2013 följt upp ovanstående observationer med relevant personal på inom Solna Stad, se Appendix 1- Intervjuade personer för mer information. 4 av 10

Sammanfattning Genom intervju och genomgång av dokumentation kan PwC konstatera att åtgärder har initierats för att hantera observationerna. Av totalt 6 observationer från föregående år har aktiviteter initierats för 4 (67%) av dessa i syfte att åtgärda bristen och 2 (33%) observationer bedöms vara åtgärdade. För mer information se tabell nedan. 7 6 5 4 3 6 2 Åtgärdade Pågående aktivitet 2 1 4 Ej åtgärdade observationer 0 Resultat 2012 Resultat Uppdatering 2013 Nedan tabell presenterar en sammanfattning av observationerna från föregående år med status för 2013: Ref. Observation Status 2013 1. Samverkansmodell med tredjepart är inte fullt implementerad. Åtgärdad 2. Avsaknad av uppföljning gällande leverans från tredjepart (Evry). 3. Avsaknad av kontroller och loggning gällande åtkomst från extern part. Pågående Pågående 4. Avsaknad av periodisk granskning av användare. Pågående 5. Återläsningstest har inte genomförts avseende data från Raindance. 6. Systemdokumentation är inte uppdaterad enligt gällande applikation och organisation. Pågående Åtgärdad För mer information gällande respektive observation se avsnitt Resultat och status på observationer nedan. 5 av 10

Resultat och status på observationer Observationer från föregående år har granskats genom intervju samt i förekommande fall via genomgång av dokumentation. Baserat på detta resultat har respektive observation graderats med en status. Observationerna har graderats enligt följande modell: - Observationen har inte åtgärdats sedan föregående års granskning vilket medför att relaterad risk och rekommendation kvarstår. - Aktiviteter och åtgärder finns planerade eller är under genomförande, dock kvarstår risken då åtgärderna ännu inte är på plats. - Åtgärder och aktiviteter för att begränsa risken har implementerats och underlag har granskats vilket säkerställer operativ effektivitet i kontrollen. Nedan återfinnas resultatet av den uppföljningsgranskning som genomförts per observation. Ref. Observation Status 2013 1. Samverkansmodell med tredjeparter är inte fullt implementerad. Det noterades att modellen för samverkan mellan Solna Stad, tredjepart för systemförvaltning (CGI) och tredjepart för drift (Evry) är formaliserad men ej fullt ut tillämpad. Solna Stad arbetar fortfarande med att hitta former och forum för att tydligt arbeta i samverkan med tredje part. Risk: Styrmodeller som inte efterlevs ökar risken för felaktig hantering vilket kan påverka den operativa nyttan med applikationen samt i extrema avseende transaktioner och data vilken är kritisk för den finansiella rapporteringen. Prioritet: Låg En samverkansmodell finns nu utarbetat och accepterad av samtliga parter, det återstår endast formella signaturer. Modellen definierar hur samtliga inblandade parter inom förvaltningen av Raindance ska samverka. PwC har i samband med granskningen erhållit relevanta underlag avseende samverkansmodellen. Slutsats: Baserat på genomförd granskning bedöms observationen som åtgärdad då samverkansmodellen är formellt accepterad och implementerad. 6 av 10

Ref. Observation Status 2013 2. Avsaknad av uppföljning gällande leverans från tredjepart (Evry). Det noterades att Solna Stad idag inte har någon formell uppföljning av leveransen från driftspartnern Evry. Risk: Avsaknad av formell uppföljning gällande leverans från tredjepart ökar risken för felaktig hantering av kritiska applikationer. Felaktig hantering kan påverka transaktioner och data vilken är kritisk för organisationen samt i extrema avseende data vilken är kritisk för den finansiella rapporteringen. Prioritet: Medium Det noterades att IT avdelningen genomför månatliga uppföljningsmöten med Evry avseende leveransen av IT till Solna Stad. I den utvecklingsplan som finns ska Evry framgent även ha uppföljningsmöten med respektive förvaltare i syfte att få en effektiv förvaltning av kritiska applikationer och system inom Solna Stad. Slutsats: Baserat på att aktiviteter har initierats för att förbättra och förstärka förvaltningen bedöms observationen som delvis åtgärdad. Solna Stad rekommenderas att fortsätta arbetet med förvaltningsmodellen. 3. Avsaknad av kontroller och loggning gällande åtkomst från extern part. Det noterades att konsulter och driftstekniker från tredjepart (CGI kundsupport och Evry driftstekniker) har åtkomst till applikationen Raindance. Inga övervakande kontroller vilka säkerställer spårbarhet samt ändamålsenlig aktivitet från tredjepart finns på plats. Risk: Avsaknad av kontroll gällande aktivitet utförd av tredjepart ökar risken för felaktiga eller bedrägliga transaktioner. Felaktiga eller bedrägliga transaktioner kan påverka funktioner och data vilka är kritisk för den finansiella informationen. Prioritet: Medium Det noterades att Solna Stad arbetar med att klassificera information och säkerhetsklassa den. Baserat på detta kommer ytterligare arbete med logisk säkerhet att granskas, genom detta kommer även hantering av priviligerade användare att analyseras. Slutsats: Baserat på att det finns initiativ för att hantera risken avseende priviligerade användare bedöms observationen som delvis åtgärdad. Solna Stad rekommenderas att fortsätta arbetet med att klassa information och identifiera kontroller för priviligerade användare. 7 av 10

Ref. Observation Status 2013 4. Avsaknad av periodisk granskning av användare. Det noterades att ingen periodisk granskning av användare i applikationen Raindance genomförs i syfte att säkerställa fullständighet och riktighet i behörigheter och åtkomst till applikationen. Risk: Avsaknad av granskning gällande behörigheter ökar risken för felaktig eller bedräglig åtkomst till kritisk data. Felaktig eller bedräglig åtkomst till kritisk data kan påverka transaktioner eller information vilken är kritisk för den finansiella rapporteringen. Prioritet: Medium Det noterades att Solna Stad har genomför en granskning av användarbehörighet och att samtliga användare har rätt roller. Dock har ingen dokumentation upprättats samt att detta inte är en formell kontroll vilken utförs kontinuerligt under året. Slutsats: Baserat på att en granskning har genomförts bedöms kontrollen som delvis åtgärdad. Dock rekommenderas Solna Stad att formalisera och dokumentera kontrollen. 5. Återläsningstest har inte genomförts avseende data från Raindance. Det noterades att ingen återläsning av backup data för applikationen Raindance har genomförts under verksamhetsåret 2012. Dock planeras detta under verksamhetsår 2013 enligt verksamhetsplanen. Risk: Avsaknad av återläsning gällande data ökar risken för att data inte är redundant. Avsaknad av redundant data kan påverka information vilken är kritisk för den finansiella rapporteringen. Prioritet: Medium Det noterades att Solna Stad har genomfört ett återläsningstest i samband med att ett tekniskt stopp i produktionsmiljön. I samband med detta genomfördes en återläsning utan problem. Dock upprättades ingen dokumentation samt att ingen instruktion finns på plats. Slutsats: Baserat på att en återläsning har genomförts bedöms observationen som delvis åtgärdad. Dock rekommenderas Solna Stad att genomföra formella och dokumenterade återläsningstester. 8 av 10

Ref. Observation Status 2013 6. Systemdokumentation är inte uppdaterad enligt gällande applikation och organisation. Det noterades att delar av systemdokumentationen inte är uppdaterad i enlighet med gällande förvaltning. Bland annat beror detta på byte av driftsleverantören samt införande av en ny förvaltningsmodell (PM3). I samband med att förvaltningsmodellen implementeras fullt kommer dokumentation avseende applikationen Raindance och förvaltningen att uppdateras. Risk: Avsaknad av tydlig dokumentation avseende kritiska system försvårar spårbarheten i förvaltning. Otydlig förvaltning kan påverka den operativa effektiviteten i applikationen. Prioritet: Låg Det noterades att Solna Stad har systemdokumentation avseende applikationen Raindance vilken återfinns hos förvaltningspartner (CGI och Evry). Slutsats: Baserat på genomförd granskning bedöms observationen som åtgärdad då system dokumentation finns på plats. 9 av 10

Appendix 1 Intervjuade personer I samband med revisionen har intervjuer genomförts med nyckelpersoner avseende förvaltningen av Raindance. Följande personer intervjuades: Maria Sundin Teknisk specialist inom Solna Stad, Peter Malmberg IT-konsult. 10 av 10

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss