Revisionsrapport Rutiner och intern styrning och kontroll 2016

Relevanta dokument
Granskning av intern styrning och kontroll vid Statens servicecenter

Granskning av generella IT-kontroller för PLSsystemet

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Revisionsrapport Årsredovisning 2017

Revisionsrapport. Skogsstyrelsens delårsrapport Sammanfattning Skogsstyrelsen Jönköping.

Revisionsrapport. Styrelsen för internationellt utvecklingssamarbete årsredovisning Datum Dnr

Länsstyrelsen i Kronobergs läns hantering av länsstyrelsernas samordnade löneservice

Revisionsrapport. Riksrevisionens granskning av Sveriges riksbank Inledning

Revisionsrapport Karolinska Institutet Stockholm

Intern styrning och kontroll vid Sameskolstyrelsen samt årsredovisningen 2012

Revisionsrapport. Revisionsrapport rörande löpande granskning av Polisen Granskning av ekonomiadministration slutsatser

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket Solna. Datum Dnr

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll

Revisionsrapport Årsredovisningen 2016 samt intern styrning och kontroll

Revisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning Sammanfattning

Revision av den interna kontrollen kring uppbördssystemet REX

Regler och riktlinjer för intern styrning och kontroll vid KI

Migrationsverket årsredovisning 2013

Revisionsrapport Rutiner och intern styrning och kontroll inom redovisning 2017

Revisionsrapport. Löpande granskning av Försvarsmakten Sammanfattning. 2. Lönerutin Datum Dnr

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Linköpings Universitets årsredovisning Sammanfattning

Revisionsrapport Bristande rutiner och intern styrning och kontroll i uppföljning av lämnade bidrag 2016

Finansinspektionens författningssamling

Revisionsrapport Årsredovisning 2016

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

REVISIONSPLAN FÖR ÅR 2012

Revisionsrapport. Sidas årsredovisning 2009 samt brister i den interna styrningen och kontrollen. 1. Inledning och sammanfattning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Finansinspektionens författningssamling

Revisionsrapport. Löpande granskning av Försvarsmakten Sammanfattning. Försvarsmakten Stockholm

Avgiftsuttag och intern styrning och kontroll avseende geografisk information och fastighetsinformation

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Finansinspektionens författningssamling

Revisionsplan för Linnéuniversitetet 2015

Revisionsberättelse för Luftfartsverket 2016

Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Revisionsrapport - Årsredovisning för staten 2017

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Kronofogdemyndigheten

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Revisionsberättelse för Migrationsverket 2016

Ramavtalsupphandlingar inom IT-området

Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan

Internrevisionen Förslag till revisionsplan för år 2008 Christina Wannehag Dnr B 5 350/08

Granskning av årsredovisning

Revisionsrapport. Brister i den interna styrningen och kontrollen vid Försäkringskassan samt årsredovisning Inledning och sammanfattning

Uppföljningsrapport IT-revision 2013

Revisionsrapport. Intern styrning och kontroll i upphandlings- och inköpsprocessen. Sammanfattning

Revisionsberättelse för Regionala etikprövningsnämnden i Göteborg 2016

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Intern styrning & kontroll samt internrevision i staten

Revisionsrapport Granskning av avgiftsfinansierad verksamhet 2016

Revisionsrapport. Genomförande av Kvalitetsmätning. Inledning Tullverket Box Stockholm.

Revisionsberättelse för Sveriges riksbank 2017

Revisionsberättelse för Statens Skolverk 2016

Myndigheten för samhällsskydd och beredskaps författningssamling

Sameskolstyrelsen årsredovisning 2014

Riksrevisionens granskning av Sveriges riksbank 2003

Revisionsberättelse för Statens jordbruksverk 2017

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Årsredovisning för Linköpings universitet Sammanfattning. Linköpings universitet LINKÖPING

Revisionsrapport Årsredovisning 2015

Revisionsberättelse för Riksdagens ombudsmän 2016

Revisionsrapport. Revision vid Sveriges lantbruksuniversitet 2010

Emelie Holmlund Dnr 2017/346. Revisionsplan 2017 Internrevisionens riskanalys och revisionsplan

Tillsyn över säkerhetsarbete hos underleverantör

Revisionsberättelse för Migrationsverket 2017

Uppföljning av intern kontroll

Svar på revisionsrapport Granskning av avvikelsehantering Region Kronoberg

Revisionsberättelse för Statistiska centralbyrån 2016

Revisionsplan för Linnéuniversitetet 2016

Revisionsrapport. IT-revision Solna Stad ecompanion

Revisionsrapport. Löpande granskning Sammanfattning. Lantmäteriet Gävle Datum Dnr

Revisionsberättelse för Länsstyrelsen i Kalmar län 2017

Revisionsberättelse för Försäkringskassan 2016

System för intern kontroll Hässelby-Vällingby stadsdelsförvaltning

Revisionsrapport Övergripande granskning av intern kontroll Tandvårdsnämnden 2015

Revisionsrapport Årsredovisning 2016

Rapport Intyg ersätter tidigare intyg. 16 oktober oktober 2011 Europeiska jordbruksfonden för landsbygdsutveckling (EJFLU)

Reglemente för intern kontroll

Region Skåne Granskning av IT-kontroller

REVISIONSPLAN DNR V 2017/87. Jan Sandvall. Till styrelsen vid Göteborgs universitet

Revisionsberättelse för Linköpings universitet 2016

Överlämnande av revisionsberättelse för Konsumentverkets årsredovisning för 2016

Revisionsberättelse för Myndigheten för samhällsskydd och beredskap 2016

Riktlinjer för intern styrning och kontroll

Löpande granskning av rutin för upphandling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Revisionsrapport. Granskning av beslut i ärenden angående internrevisionen vid Länsstyrelsen i Skåne län. Sammanfattning

Revisionsberättelse för Sveriges riksbank 2015

Transkript:

T R A N S P O R T S T Y R E LSEN 601 73 N O R R K Ö P I N G B E S LUT: 20 1 7-04- 12 Transportstyrelsen Revisionsrapport Rutiner och intern styrning och kontroll 2016 Som ett led i granskningen av årsredovisningen med syfte att göra uttalandet om denna, har Riksrevisionen bland annat granskat rutiner utifrån förordning (2007:603) om intern styrning och kontroll, hantering av avgifter samt fordons- och trängselskatter. De punkter som framgår i revisionsrapporten är sådana iakttagelser som vi har identifierat och som Riksrevisionen vill fästa ledningens uppmärksamhet på. Dessa iakttagelser har inte har påverkat revisionsberättelsen. Riksrevisionen önskar information senast 2017-05-26 med anledning av våra iakttagelser i denna rapport. Sammanfattning Riksrevisionen har granskat Transportstyrelsens process enligt förordning (2007:603) om intern styrning och kontroll, FISK, och bedömer att den centrala styrningen och uppföljningen behöver stärkas. Verksamheten är i behov av tydligare vägledning, bland annat vad gäller riskanalyser och hur risker ska värderas och hanteras. Även stödet till avdelningarna behöver stärkas och FISK-samordnarna involveras i hela processen. Transportstyrelsen tar ut en stor mängd avgifter och faktureringsprocessen är komplex. Riksrevisionens granskning visar att den centrala styrning och uppföljningen behöver stärkas. Det bör ställas övergripande krav på vilka kontroller som ska utföras, exempelvis avseende dualitet vid framtagande av faktureringsunderlag och kontroll av fullständigheten i faktureringen. Transportstyrelsen behöver även tydliggöra vilken organisatorisk avdelning som är kravställare och som har ett helhetsansvar för faktureringsprocessen. Transportstyrelsen tar in fordons- och trängselskatter till betydande belopp. Riksrevisionens granskning visar att finns förbättringsområden och rekommenderar Transportstyrelsen att göra en samlad genomlysning av uppbördsflöden och säkerställa att det finns ändamålsenliga och dokumenterade kontroller på plats. Riksrevisionen R I K S R E V I S I O N E N N Y B R O G A T A N 5 5 114 90 STOCKHOLM 08-5 1 7 1 4 0 0 0 W W W. R I K S R E V I S I O N E N. S E 1 ( 8 )

B E S LUT: 2 0 1 7-04- 12 rekommenderar även Transportstyrelsen att prioritera arbetet med att ta fram en reskontra för att stärka hanteringen av uppbördsfordringar. Vid granskning av IT-generella kontroller har ett antal brister identifierats i Transportstyrelsens behörighetshantering. Bristande rutiner inom området medför både ökad risk för obehörig åtkomst till information och risker kopplat till finansiella flöden. Riksrevisionen har tidigare avrapporterat brister inom området och rekommenderar Transportstyrelsen ånyo att införa ändamålsenliga rutiner för tilldelning och uppföljning av behörigheter. 1. Processen för intern styrning och kontroll behöver utvecklas I myndighetsförordningen (2007:515) anges att ledningen ska säkerställa att det finns en intern styrning och kontroll som fungerar på ett betryggande sätt. Transportstyrelsen omfattas även av förordningen (2007:603) om intern styrning och kontroll, FISK, vilken ställer krav på att myndigheten på ett systematiskt sätt ska hantera risker och dokumentera den interna styrningen och kontrollen. I förordningen anges ett antal obligatoriska moment som ska ingå i processen, nämligen riskanalys, kontrollåtgärder, uppföljning och dokumentation. Riksrevisionen har granskat Transportstyrelsens process för intern styrning och kontroll utifrån kraven som ställs i FISK. Slutsatsen är att Transportstyrelsen uppfyller kraven men att det finns behov av att ytterligare stärka upp processen. Transportstyrelsen är en decentraliserad organisation med relativt självständiga avdelningar. För att ledningen ska kunna säkerställa att hela organisationen arbetar med intern styrning och kontroll på ett likartat sätt och att väsentliga risker kommer till ledningens kännedom är det enligt Riksrevisionen viktigt att det finns tydliga riktlinjer för hur arbetet ska bedrivas. Riksrevisionens granskning visar att Transportstyrelsens styrande dokument främst inriktas mot vad som ska göras, utan att ge enheterna någon närmare vägledning för hur det ska göras. Det saknas exempelvis tydlig vägledning och tydliga kriterier för hur riskanalyser ska tas fram samt hur risker ska värderas och hanteras. Det saknas även kriterier för när risker ska eskaleras till nästa ledningsnivå samt vad som utgör en accepterad risk och hur dessa ska hanteras. Avsaknad av sådana kriterier innebär enligt Riksrevisionen risk för att bedömningen av risker i organisationen blir olikartad och att ledningen/styrelsen inte får kännedom om samtliga väsentliga risker. 2 ( 8 )

B E S LUT: 20 1 7-04- 12 Som en del i granskningen besökte Riksrevisionen två avdelningar för att diskutera Transportstyrelsen process för intern styrning och kontroll. Avdelningarna uttryckte i samband med detta att det finns behov av stärkt vägledning och tydligare kriterier/principer för hur de ska arbeta med olika moment i FISK-processen. Avdelningarna framförde också behov av att få träffa andra avdelningar och gemensamt diskutera hur Transportstyrelsen bör se på risker och vilka överväganden som bör göras på avdelningsnivå. Riksrevisionen har tagit del av samtliga riskanalyser på avdelningsnivå för 2016. Genomgång av dessa visar att: - Vissa avdelningar har endast tagit upp ett fåtal risker. Det saknas även spårbarhet kring vilka risker som är hanterade och vilka risker som har accepterats. - Risker och kontrollåtgärder är ofta vagt och oprecist formulerade. - GD-juridik lyfter fram en risk för oegentligheter, vilken är lågt värderad. Övriga avdelningar lyfter inte fram någon risk kopplat till oegentligheter. - Risker kopplat till informationssäkerhet och ekonomiadministrativa rutiner, till exempel avgiftshanteringen, är svaga. Enligt Riksrevisionen är det viktigt att myndigheten har en funktion som involveras i hela FISK-processen och som därigenom får en helhetsbild. Denna kan då både föra ut myndighetsövergripande perspektiv på avdelnings-/enhetsnivå och föra fram risker från avdelnings-/enhetsnivå till ledningen. Transportstyrelsen har två FISK-samordnare men dessa har inte involverats i hela processen och har varken medverkat vid avdelningarnas arbete med att ta fram riskanalyser eller vid ledningens genomgångar och uppföljningar. Samordnarnas roll har främst varit av administrativ karaktär där de tar in och sammanställer underlag från avdelningarna. Riksrevisionen rekommenderar Transportstyrelsen att stärka den centrala styrningen och uppföljningen av FISK-processen. De styrande dokumenten bör innehålla tydliga kriterier och i högre utsträckning ge verksamheten vägledning för vad som gäller vid framtagande av olika moment i FISK-processen, exempelvis vad gäller värdering, hantering och eskalering av risker. Transportstyrelsen rekommenderas också att öka stödet till avdelningarna och involvera de centrala FISK-samordnarna i hela processen. 3 ( 8 )

B E S LUT: 2 0 1 7-04- 12 2. Rutiner för hantering av avgifter behöver förbättras Transportstyrelsen hanterar en stor mängd avgifter (100-tals) främst avseende tillstånd, tillsyn och registerhållning.. Faktureringsprocessen är komplex och avgifterna hanteras i flera olika IT-system. Det finns även avgifter där faktureringsunderlagen är manuella. Riksrevisionen bedömer därför att det är viktigt med en god intern styrning och kontroll för att säkerställa en fullständig och riktig fakturering. Riksrevisionen ser framförallt risker i faktureringsprocessen fram tills dessa att avdelningar/enheter ute i verksamheten lämnar faktureringsunderlag till den centrala skatte- och avgiftsavdelningen samt att verksamheten inte får tillräcklig återkoppling från utförd fakturering. Det är skatte- och avgiftsavdelningen som sköter den fortsatta hanteringen såsom fakturering och fordringsbevakning. Riksrevisionens bedömning är att det finns brister i intern styrning och kontroll och att Transportstyrelsen behöver vidta åtgärder för att stärka hanteringen. Det saknas en tydlig och sammanhållen central styrning av faktureringsprocessen och det finns otydligheter i ansvarsfördelningen mellan ekonomiavdelningen och skatte- och avgiftsavdelningen. Ingen av dessa centrala avdelningar har i praktiken tagit ansvar för helheten i processen och ställt krav på hur den interna styrningen och kontrollen bör vara utformad. 1 Transportstyrelsens styrande dokument för faktureringsprocessen bedöms inte heller på ett tillräckligt tydligt sätt innehålla krav på hur rutinerna bör vara utformade. Bristerna gäller framförallt hanteringen fram till dess att faktureringsunderlag har lämnats in till skatte- och avgiftsavdelningen. Det saknas också ett helhetsperspektiv där hela hanteringen inkluderas oavsett vilka organisatoriska enheter som involveras. Exempelvis finns inget krav på att väsentliga delmoment i faktureringsprocesserna, såsom framtagande av faktureringsunderlag, ska hanteras i dualitet. I samband med granskningen utförde Riksrevisionen en fördjupad granskning på två avdelningar. Granskningen visade på komplexiteten i faktureringsprocessen och att risker och rutiner är olika beroende på vilken specifik avgift som hanteras. Granskningen visade också att flertalet av de rutiner som tillämpades inte var dokumenterade. Det är därför svårt att få överblick över rutinerna och de kontroller som utförs. Den bristande centrala styrningen innebär också att det saknas ett helhetsperspektiv på faktureringsprocessen. Avdelningarna som sköter hanteringen fram till överlämnande av 1 Transportstyrelsen har en riktlinje för fakturering och kravhantering avseende avgifter(tsg 2015-1525). Av riktlinjen framgår att ekonomiavdelningen ansvarar för att ta fram förslag på riktlinjer och principer för fakturering och kravhantering, för beslut av generaldirektören. Skatte- och avgiftsavdelningen ansvarar för processen och hanteringen av faktureringen och kravhanteringen i myndigheten. Vid intervjuer med ekonomiavdelningen och skatte- och avgiftsavdelningen var det tydligt att ingen tog på sig helhetsansvaret för faktureringsprocessen. Det gällde både att ställa krav på de rutiner som verksamheten ska tillämpa och uppföljning av att rutinerna efterlevs. 4 ( 8 )

B E S LUT: 20 1 7-04- 12 faktureringsunderlagen är inte insatta i de kontroller som skatte- och avgiftsavdelningen utför vilket innebär risk både för dubbelarbete och för att väsentliga risker inte omhändertas. Avdelningarna får inte heller någon strukturerad rapportering från skatteoch avgiftsavdelningen från utförd fakturering och om avgifterna har betalats. Även Transportstyrelsens internrevision har under 2016 granskat faktureringsprocessen. Internrevisionens granskning visar på liknande brister som Riksrevisionen gjort. Internrevisionen drar slutsatsen att bristerna innebär risk för uteblivna eller felaktiga avgifter, bristande enhetlighet och rättsenlighet, vilket skulle kunna leda till förtroendeskada och/eller viss ekonomisk förlust. 2 Riksrevisionen delar internrevisionens bedömning. Riksrevisionen rekommenderar Transportstyrelsen att på myndighetsnivå utföra riskanalys av faktureringsprocesserna och utifrån denna utveckla de interna riktlinjerna gällande intern styrning och kontroll inom avgiftshanteringen. De styrande dokumenten bör innehålla övergripande krav på de kontroller som ska utföras, exempelvis avseende dualitet vid framtagandet av faktureringsunderlag och att det utförs kontroller av fullständigheten i faktureringen. Riksrevisionen hänvisar även till internrevisionens detaljerade rekommendationer, vilka bedöms vara relevanta och viktiga att beakta vid översynen av faktureringsprocessen. Vidare rekommenderar Riksrevisionen Transportstyrelsen att i interna riktlinjer eller i delegationsordningen tydliggöra vilken organisatorisk enhet som är kravställare och som har ett helhetsansvar för faktureringsprocessen. Detta gäller även processen fram till att faktureringsunderlag skickas till skatte- och avgiftsavdelningen. 3. Fordonsskatter och trängselskatt I Transportstyrelsens uppdrag ingår ansvar för att ta ut fordonskatt och trängselskatt. Fordonskatteintäkterna uppgick år 2016 till 14,2 mdkr och trängselskatterna till 2,4 mdkr. Skatteverket är beskattningsmyndighet men det är Transportstyrelen som ansvarar för att sända ut inbetalningskort och följa upp och redovisa inbetalningar. Fordonsskatten tas ut genom en automatiserad behandling med stöd av uppgifter i vägtrafikregistret. Trängselskatt tas ut i Stockholm och Göteborg och är baserad på registrerade passager genom betalstationer. Transportstyrelsen hanterar 2 Granskning av faktureringsprocesser för avgifter som hanteras utanför stordatorn (Rapport TSG 2016-2149) 5 ( 8 )

B E S LUT: 2 0 1 7-04- 12 passageinformationen samt beslutar om trängselskatt. Trafikverket ansvarar för drift och underhåll av betalstationerna. Riksrevisionen har under 2016 granskat kontroller i processerna för att hantera och redovisa fordonsskatter och trängselskatter. Riksrevisionen har även utfört en granskning och testning av generella IT-kontroller i det system som stödjer nämnda processer. Syftet med granskningen har varit att samla in underlag för att kunna bedöma huruvida Transportstyrelsen finansiella redovisning i allt väsentligt varit rättvisande. Vid granskningen har Riksrevisionen utgått från de poster som processerna genererar i Transportstyrelsens resultat och balansräkning. Den sammantagna granskningen av posterna har inte resulterat i att Riksrevisionen funnit några väsentliga felaktigheter i årsredovisningen. Riksrevisionen har dock identifierat ett antal områden med brister där Transportstyrelsen behöver stärka den interna kontrollen och uppföljningen. 3.1.1 Brister i intern styrning och kontroll Transportstyrelsen saknar en samlad processdokumentation där det framgår vilka kontroller som beslutats och implementerats för att hantera olika former av risker i uppbördsprocesserna. Eftersom detta saknas har Transportstyrelsen en begränsad möjlighet att systematiskt följa upp och göra en samlad bedömning av den interna styrningen och kontrollen i processerna. Internrevisionen gjorde 2014 en granskning av processen för att hantera trängselskatter och konstaterade då liknade brister. I slutet av 2015 inträffade en incident som medförde att Transportstyrelsen inte debiterade trängselskatter för en tidsperiod, de uteblivna skatteintäkterna uppgick till ca 10 mnkr. Transportstyrelsens egna kontroller fångade inte upp felet och passagerna gick inte att debitera i efterhand. Riksrevisionen har även noterat brister i underlag och analyser av utfall på poster i årsredovisningen som är relaterade till fordons- och trängselskatter. Riksrevisionen bedömer att Transportstyrelsen inte i tillräcklig omfattning har kvalitetssäkrat underlagen som tas fram av skatte- och avgiftsavdelningen. Riksrevisionen rekommenderar Transportstyrelsen att göra en samlad genomlysning av uppbördsflöden och säkerställa att det finns ändamålsenliga och dokumenterade kontroller på plats. Transportstyrelsen bör även införa rutiner och riktlinjer som säkerställer att det görs en uppföljning av att beslutade kontroller utförs och att identifierade risker har hanterats. 6 ( 8 )

B E S LUT: 20 1 7-04- 12 Transportstyrelsen rekommenderas även att stärka underlag till och analyser av poster i årsredovisningen som relaterar till fordons- och trängselskatter. 4. Reskontra för uppbördsfordringar saknas Systemet som stödjer processerna för att debitera skatter är inte byggt för att hantera redovisning av fordringar enligt de krav som gäller idag. Transportstyrelsen har sedan flera år tillbaka arbetat med att införa en ny reskontra som kan säkerställa att systemet kan ta fram de underlag som krävs för att kunna redovisa uppbördsfordringar enligt gällande redovisningsregler. Utvecklingsprojektet har försenats ett flertal gånger och det är i dagsläget oklart när den upphandlade systemlösningen kan vara fullt implementerad. Som en övergångslösning har Transportstyrelsen haft en rutin där underlagen tagits ut manuellt genom olika frågor mot de transaktionsmängder som hanteras i de befintliga systemen. Under 2016 har Transportstyrelsen upptäckt brister i uttagen vilket medfört att redovisningen blivit felaktig. På det sätt uttagen har gjorts har det inte varit möjligt att fullt ut testa att den uttagna informationen varit fullständig och riktig. Det har heller inte varit möjligt att återskapa tidigare gjorda uttag. Riksrevisionen rekommenderar Transportstyrelen att prioritera att den nya reskontran implementeras. Till dess att en reskontra är på plats behöver Transportstyrelsen förbättra kvaliteten i de underlag som tas fram. För att möjliggöra ytterligare kontroller och kunna återskapa underlag bör Transportstyrelsen utvärdera om det är möjligt att spara de underliggande datamängderna som uttagen baseras på. 5. Bristande rutiner för behörighetstilldelning och uppföljning Vid granskningen av IT-generella kontroller har ett antal brister identifierats i Transportstyrelsens behörighetshantering. Bristerna avser endast det system som hanterar fordons- och trängselskatter, men eftersom granskningen gäller generella ITkontroller kan de vara aktuella att beakta även för andra system inom myndigheten. Följande iakttagelser har gjorts vid granskningen: Tilldelade behörigheter är inte fullt ut behovsanpassade. Det görs ingen regelbunden uppföljning och validering av tilldelade behörigheter. Det görs ingen systematiskt uppföljning av loggar. Bristande rutiner inom området behörighetshantering medför en ökad risk för obehörig åtkomst till applikationer eller information. Eftersom systemet innehåller 7 ( 8 )

B E S LUT: 2 0 1 7-04- 12 verksamhetskritisk information som påverkar stora finansiella flöden är det viktigt med en ändamålsenlig behörighetshantering och logghantering. Riksrevisionen har även tidigare år rapporterat om dessa brister och anser att det är viktigt att Transportstyrelsen vidtar åtgärder. Transportstyrelsen har ett pågående arbete där dessa frågor ses över men det arbetet är inte slutfört. Riksrevisionen rekommenderar Transportstyrelen att säkerställa att ändamålsenliga rutiner för tilldelning och uppföljning av behörigheter införs. Ansvarig revisor Stefan Andersson har beslutat i detta ärende. Uppdragsledare Ellen Hansen har varit föredragande. Stefan Andersson Ellen Hansen Kopia för kännedom: Regeringen Näringsdepartementet 8 ( 8 )

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss