Granskning av generella IT-kontroller för PLSsystemet

Relevanta dokument
Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket Solna. Datum Dnr

Revision av den interna kontrollen kring uppbördssystemet REX

Nr Iakttagelse Risk Risknivå Försäkringskassans svar till Riksrevisionen dnr

Revisionsrapport. IT-revision Solna Stad ecompanion

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Revisionsrapport Rutiner och intern styrning och kontroll 2016

Nr Iakttagelse Risk Risknivå Pensionsmyndighetens svar till Riksrevisionen , dnr VER

Region Skåne Granskning av IT-kontroller

Revisionsrapport Årsredovisning 2017

Revisionsrapport Årsredovisning 2016

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Granskning av intern styrning och kontroll vid Statens servicecenter

Uppföljningsrapport IT-revision 2013

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Granskning av IT-säkerhet

Länsstyrelsen i Kronobergs läns hantering av länsstyrelsernas samordnade löneservice

Bolagsspecifika resultat Sektion 3. Page 1

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Västerås stad. Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning

Vår bedömning är att kommunstyrelsen i huvudsak har ändamålsenliga kontroller på plats

Revisionsrapport. Revisionsrapport rörande löpande granskning av Polisen Granskning av ekonomiadministration slutsatser

Intern styrning och kontroll vid Sameskolstyrelsen samt årsredovisningen 2012

Granskning av intern kontroll i lönehanteringen

Uppföljningsrapport IT-generella kontroller 2015

Revisionsrapport. Riksrevisionens granskning av Sveriges riksbank Inledning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport Karolinska Institutet Stockholm

Skatteverkets årsredovisning 2012 samt granskning av uppbördsprocesser

Granskning av IT intern kontroll

Revisionsrapport. Skogsstyrelsens delårsrapport Sammanfattning Skogsstyrelsen Jönköping.

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Revisionsberättelse för Myndigheten för samhällsskydd och beredskap 2016

Kungälvs kommun. Granskning av intern kontroll inom ekonomiprocesser 2018

Ramavtalsupphandlingar inom IT-området

Granskning av IT-säkerhet

Granskning av intern kontroll i kommunens huvudboksprocess

Revisionsrapport. Årsredovisning för Linköpings universitet Sammanfattning. Linköpings universitet LINKÖPING

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport Årsredovisning 2015

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Granskning av Försvarshögskolan 2010

Revisionsrapport. Granskning av nystartsjobb. Ramtiden felaktigt beräknad. Arbetsförmedlingen STOCKHOLM

Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll

Revisionsrapport. Styrelsen för internationellt utvecklingssamarbete årsredovisning Datum Dnr

Uppföljning av tidigare granskningar

Revisionsrapport Bristande rutiner och intern styrning och kontroll i uppföljning av lämnade bidrag 2016

Landskrona stad. Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten.

Revisionsberättelse för Regionala etikprövningsnämnden i Göteborg 2016

Revisionsberättelse för Pensionsmyndigheten 2016

Kronofogdemyndigheten

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

Revisionsberättelse för Riksdagens ombudsmän 2016

Revisionsberättelse för Pensionsmyndigheten 2014

Revisionsrapport Årsredovisning 2015

Revisionsberättelse för Statens Skolverk 2016

Stockholms Stadshus AB. Granskning av IT-intern kontroll 11 December 2014

Styrning av behörigheter

Revisionsrapport. Uppföljande granskning av internkontrollen i samlingarna. 1. Sammanfattning

Revisionsberättelse för Linköpings universitet 2016

Granskning av intern kontroll i löneprocessen

Revisionsrapport. Genomförande av Kvalitetsmätning. Inledning Tullverket Box Stockholm.

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

Statistiska Centralbyrån. Uppföljning av granskning från

Revisionsberättelse för Statens historiska museer 2017

Revisionsrapport. Revision vid Sveriges lantbruksuniversitet 2010

Revisionsberättelse för Affärsverket svenska kraftnät 2017

Revisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning

Finansinspektionens författningssamling

Svar till kommunrevisionen avseende genomförd IT-revision

Revisionsberättelse för Statens jordbruksverk 2017

Revisionsberättelse för Luftfartsverket 2016

Angered. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

Revisionsberättelse för Länsstyrelsen i Kalmar län 2017

Granskning av behörigheter till journalsystemet

Stockholms Stadshus AB it-revision november 2016

Revisionsrapport. Löpande granskning Sammanfattning. Lantmäteriet Gävle Datum Dnr

Löpande granskning av rutin för upphandling

Riksrevisionens granskning av Sveriges riksbank 2003

Revisionsberättelse för Migrationsverket 2016

Revisionsberättelse för Migrationsverket 2017

Revisionsrapport Rutiner och intern styrning och kontroll inom redovisning 2017

Revisionsberättelse för Sveriges riksbank 2017

Överlämnande av revisionsberättelse för Konsumentverkets årsredovisning för 2016

Riksantikvarieämbetets årsredovisning 2014

Finansinspektionens författningssamling

Granskning av IT-säkerheten inom Lunds kommun

Revisionsberättelse för Statistiska centralbyrån 2016

Granskning av rutiner för arvoden och ersättningar till förtroendevalda

Jämtlands Gymnasieförbund

Revisionsberättelse för Uppsala Universitetet 2017

Revisionsberättelse för Försäkringskassan 2016

Revisionsrapport. Löpande granskning av Försvarsmakten Sammanfattning. 2. Lönerutin Datum Dnr

Transkript:

F Ö R S V A R E T S M A T E R I E LV E R K (F M V ) 115 88 S T O C K HO LM Försvarets materielverk (FMV) Granskning av generella IT-kontroller för PLSsystemet vid Försvarets materielverk (FMV) Som ett led i granskningen av årsredovisningen med syfte att göra uttalanden om denna har Riksrevisionen även granskat rutiner och kontroller inom IT. Granskningen har omfattat systemet PLS som är ett projektledningssystem. Riksrevisionen har utfört en kartläggning och testning av generella IT-kontroller i och kring systemet som av Riksrevisionen bedöms vara väsentligt för såväl verksamhet som finansiell redovisning. Granskningen har omfattat rutiner och kontroller för systemförändringar och behörighetshantering. De punkter som är upptagna i denna revisionsrapport är sådana som Riksrevisionen vill fästa ledningens uppmärksamhet på. Iakttagelserna avser endast rutiner och kontroller för det system som har granskats, men eftersom granskningen avser generella ITkontroller kan iakttagelserna och rekommendationerna vara aktuella att beakta även för andra system inom FMV. Riksrevisionen önskar information senast 2017-05-22 med anledning av våra iakttagelser i denna rapport. Sammanfattning Projektredovisningssystemet PLS är ett verksamhetskritiskt system som är väsentligt för den finansiella redovisningen, resultatredovisningen och för verksamhetens fortlöpande drift. Det är därför viktigt att det finns god intern kontroll i samtliga rutiner kring PLS och även i FMV:s övriga verksamhetskritiska IT-system. Riksrevisionen bedömer att FMV bör verka för att rutiner för programförändringar är enhetliga och tillämpas med god intern kontroll för samtliga verksamhetskritiska ITsystem samt att om möjligt separera åtkomst till utvecklings- och produktionsmiljö. Riksrevisionen bedömer även att det finns behov av att förbättra FMV:s hantering av behörigheter i PLS både vad gäller rutiner för tilldelning, borttag och uppföljning av R I K S R E V I S I O N E N N Y B R O G A T A N 5 5 114 90 STOCKHOLM 08-5 1 7 1 4 0 0 0 W W W. R I K S R E V I S I O N E N. S E 1 ( 6 )

behörigheter samt att ytterligare anpassa systemets behörigheter till att bättre avspegla verksamhetens ansvarsstruktur och behov. 1. Brister i rutiner för programförändringar 1.1 Myndighetsgemensam rutin för programförändringar är inte känd inom myndigheten Riksrevisionen har under granskningen noterat att det finns en generell change process samt IT-säkerhetskrav framtagna för hantering av programförändringar för IT-system vid IT-staben på FMV. Riksrevisionen gör bedömningen att denna gemensamma processbeskrivning inte är känd inom hela myndigheten eftersom den inte tillämpas för IT-systemet PLS. Vidare har Riksrevisionen noterat att det inte finns någon specifik testmetodik på IT-staben, men att en behovsanalys av detta ska påbörjas. Som ett resultat av att processbeskrivningen inte är känd har Riksrevisionen noterat att det inte alltid finns ett formaliserat godkännande av beställning av programförändringar liksom formaliserat godkännande av produktionssättning. Vidare har Riksrevisionen noterat att test före driftsättning av utvecklade programförändringar inte alltid har genomförts på grund av tidsbrist. Avsaknad av kunskap och kännedom om en myndighetsgemensam rutin för programförändringar medför att det kan utformas enskilda rutiner för varje system eller att det saknas rutiner samt att arbetssättet inom myndigheten inte blir enhetligt och att befintliga rutiner inte efterlevs. Vidare medförde det att inte testade och godkända förändringar har förts in i PLS produktionsmiljö. Riksrevisionen rekommenderar FMV att informera om vilket stöd inom förändringshantering som finns framtaget centralt vad gäller riktlinjer och processer för att öka kunskapen om detta. Vidare bör FMV påtala vikten av att dessa riktlinjer och processer efterlevs inom myndigheten. En testmetodik bör också utformas och implementeras där det framgår vilka krav på test som finns avseende testplaner, testfall och dokumentation av utförda tester. Slutligen bör en process för att följa upp efterlevnad av interna rutiner och processer utformas och implementeras. 2 ( 6 )

1.2 Åtkomst till utveckling- och testmiljöer är inte separerat från produktionsmiljön Riksrevisionen har, liksom föregående år, noterat att åtkomst till utvecklings- och testmiljöer inte är separerad från produktionsmiljön, dvs. utvecklare har även åtkomst till produktionsmiljön. Användare med höga behörigheter i båda miljöerna ökar risken att förändringar produktionssätts utan lämpliga tester eller godkännande, med eller utan avsikt. Riksrevisionen rekommenderar FMV att, om det är praktiskt möjligt, tillse att separerade arbetsuppgifter upprätthålls genom att utvecklare inte också har skrivrättigheter till produktionsdatabasen. Om detta är praktiskt svårt att genomföra bör en manuell kontroll upprättas där FMV följer upp vilka aktiviteter som utförs av dessa användarkonton med höga behörigheter genom att kontrollera loggar. 2. Brister i rutiner för programförändringar 2.1 Tilldelning av behörigheter godkänns inte alltid av chef Enligt beslut (16FMV7590-1:1) ska chef kontrollera och godkänna ansökan om behörighet genom att skicka en blankett via e-post till funktionsbrevlådan för behörigheter i PLS. I vårt urval om 30 stickprov saknades det i 7 fall godkännanden från chef. Tilldelade ej godkända behörigheter ökar risken för att behörigheter inte tilldelas enligt användarens ansvar och arbetsuppgifter och kan leda till otillbörlig åtkomst i PLS. Riksrevisionen rekommenderar att FMV säkerställer att rutinen för tilldelning av behörigheter efterlevs. 3 ( 6 )

2.2 Borttag av behörigheter sker inte alltid i samband med att anställda slutar eller byter arbetsuppgift Riksrevisionen har under granskningen noterat vid stickprovstestning av 30 personer att 17 som avslutat anställning fortfarande var aktiva i PLS. Orsaken till att behörigheter inte tagits bort för personer som slutat är enligt uppgift att det tidigare har varit automatisk överföring från IDHA (LandaID-systemet) till PLS med avslutade personer. Men sedan något år tillbaka då IDHA bytte plattform fungerar inte längre överföringarna (integrationsproblem) mellan IDHA och PLS, vilket upptäcktes först under vår granskning. Enligt uppgift har en efterföljande översyn genomförts av att behörigheter tagits bort för alla anställda som har slutat. Det konstaterades då att det var många anställda som fortfarande hade status aktiv även om de slutat. Den 28 oktober 2016 lästes en fil in i PLS från lönesystemet Palasso med information om vilka anställda som har slutat. Ett beslut ska tas om det ska ske automatiska överföringarna från Palasso till PLS framöver. En icke ändamålsenlig rutin för borttag av roller och behörigheter i PLS medför otillbörlig åtkomst och att behörigheter inte är i linje med användarens ansvar och arbetsuppgifter. Riksrevisionen rekommenderar att rutinen för borttag ses över och formaliseras samt att ansvarsfrågan för borttag tydliggörs. 2.3 Avsaknad av periodisk genomgång av behörigheter i PLS Riksrevisionen har noterat att ingen periodisk genomgång av behörigheter sker i PLS. Enligt beslut (16FMV7590-1:1) skulle regelbunden uppföljning av behörigheter i PLS systematiserats under hösten 2016. Utan periodiska genomgångar av behörigheter samt ej tillförlitlig borttagsrutin ökar risken för otillbörlig åtkomst som kan leda till medvetna/omedvetna ändringar som kan påverka den finansiella redovisningen. Riksrevisionen rekommenderar att rutiner för periodisk genomgång av samtliga behörigheter i PLS utformas och implementeras. Genomgången bör även omfatta att användarens behörighet är i linje med arbetsuppgifter och ansvar och bör utföras av 4 ( 6 )

närmaste chef. Genomgången bör dokumenteras och en uppföljning bör ske att den är fullständigt utförd. 2.4 Behörighetsmodellen är inte anpassad till verksamheten En behörighetsmodell togs fram 2013, dock hade inte hänsyn tagits till stödfunktionernas roller i PLS. Ett initiativ har tagits till att utveckla behörighetsmodellen och enligt plan skulle den ha omarbetats under hösten 2016. Riksrevisionen har dock noterat att detta arbete inte har prioriterats under året och att behörighetsmodellen inte är färdigställd. Riksrevisionen noterade även att en detaljerad beskrivning av rollerna i den befintliga behörighetsmodellen inte tagits fram. Roller som inte är uppdaterade enligt ny behörighetsmodell ökar risken för att behörigheter tilldelas som inte är i linje med arbetsuppgifter och ansvar och kan leda till otillbörlig åtkomst. Avsaknad av beskrivning av roller ökar risken för att felaktiga roller tilldelas och kan leda till otillbörlig åtkomst. Riksrevisionen rekommenderar att arbetet med att utveckla behörighetsmodellen slutförs och att detaljerade beskrivningar av samtliga roller utformas. 2.5 Ingen uppföljning av kritiska loggar sker. Enligt uppgift loggas alla förändringar i PLS. Dock sker, liksom föregående år, ingen uppföljning av dessa loggar regelbundet, endast om behov uppstår. Det är oklart vem som har åtkomst till loggarna. Otillräcklig logguppföljning ökar risken för att inte upptäcka otillåten eller oönskad användning av IT-resurser samt att inte upptäcka och snabbt kunna agera på säkerhetsincidenter eller avvikelser mot interna och externa regelverk. Riksrevisionen rekommenderar att krav avseende loggning och uppföljning formaliseras samt att rutin för uppföljning införs. 5 ( 6 )

Ansvarig revisor Tomas Janhed har beslutat i detta ärende. Uppdragsledare Louise Ros har varit föredragande Tomas Janhed Louise Ros Kopia för kännedom: Regeringen Försvarsdepartementet 6 ( 6 )

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss