Revisionsrapport – Revision af generelle IT-kontroller 2023

Københavns Kommune har, som led i den løbende revision af regnskab 2023, modtaget revisionsrapporten om revision af generelle IT-kontroller. Der afgives med rapporten to røde og to gule bemærkninger, hvor en rød bemærkning er ny, og resten er videreført fra 2022. Med rapporten lukkes to bemærkninger. Forvaltningerne har udarbejdet handleplaner, som følge af revisionsbemærkningerne.

Økonomiforvaltningen indstiller over for Økonomiudvalget,

Som led i den løbende revision af Københavns Kommunes regnskab 2023 har kommunens revisor foretaget en revision af de generelle it-kontroller, som er en del af den lovpligtige revision.

Der gives med rapporten to røde bemærkninger vedrørende henholdsvis ledelsestilsyn med brugerautorisationer og ibrugtagning af it-systemer, hvor førstnævnte er ny en bemærkning. Derudover gives der to gule bemærkninger, som begge er videreførte fra 2022. Der lukkes to gule bemærkninger med rapporten.

Revisionsbemærkninger og handleplaner hertil fremgår af bilag 2.

RØD - 3.1.1 Ledelsestilsyn med bruger autorisationer (forvaltningerne)

Revisionen har lavet en stikprøvekontrol af udarbejdede ledelsestilsyn for kommunens IT-systemer for at sikre, at hyppigheden for ledelsestilsynet overholder kommunens retningslinjer herfor. Stikprøvekontrollen dækker både over IT-systemer i kommunens IGA-løsning (Identity Governance & Administration), hvor ledelsestilsynet skal udarbejdes mindst hvert eller hvert andet år, og for IT-systemer uden for IGA-løsningen, hvor ledelsestilsynet skal udarbejdes mindst hver 6. måned. Revisionen henstiller blandt andet, at det sikres, at ledelsestilsyn, som skal sikre, at de ansatte ikke har adgang til personoplysninger, hvor der ikke er et arbejdsbetinget behov, udføres i overensstemmelse med kommunens regler. Derudover henstilles det, at alle kommunens systemer indeholdende værdi- og personoplysninger, hvis det er teknisk muligt, integreres i kommunens IGA-løsning, hvor ledelsestilsynet opstartes automatisk.

Forvaltningerne har udarbejdet handleplaner hertil, der blandt andet skal sikre, at ledelsestilsynene udføres i overensstemmelse med kommunens retningslinjer, og at flest mulige IT-systemer kommer over på IGA-løsningen. Koncern IT under Økonomiforvaltningen vil understøtte forvaltningerne i at migrere IT-systemer til IGA-løsningen. Arbejdet forventes afsluttet inden udgangen af 2024.

RØD – 3.2.1 Ibrugtagning af it-systemer (Økonomiforvaltningen)

Bemærkningen er videreført fra 2022, hvor revisionen konstaterede, at der var en lang række IT-systemer, som var ibrugtaget, uden at der var en ibrugtagningstilladelse.

Forretningscirkulæret for IT-anskaffelser indeholder et krav om, at IT-systemer anskaffet efter 1. november 2018 skal have en ibrugtagningstilladelse, inden de kan ibrugtages. I revisionen for 2023 er det konstateret, at der er 135 IT-systemer, som blev anskaffet før 1. november 2018, som ikke har en ibrugtagningstilladelse. Derudover er det ikke alle oplysningerne i Fælles Information om Systemer i Københavns Kommune (FISKK), der er opdateret for IT-systemerne.

Revisionen henstiller blandt andet, at der udføres en tilpasset sikkerhedsvurdering af systemer ibrugtaget før 2018, idet det vurderes, at risikoen er større på ældre systemer.

Økonomiforvaltningen har iværksat en række initiativer, der har fokus på risikovurderingerne af IT-systemer ibrugtaget før 2018. Derudover vil der blive udarbejdet en proces for opdatering af IT-systemoplysningerne i FISKK. Arbejdet forventes afsluttet i første halvår 2025.

GUL – 3.2.2 Organisering af informationssikkerhed og styrkelse af det ISMS (Økonomiforvaltningen)

Revisionen henstiller, at arbejdet med at styrke informationssikkerheden fortsat prioriteres højt, samt at der etableres en proces for opfølgning på leverandører, som omfatter en risikovurdering af leverandøren, og de services, der leveres, og på baggrund heraf, og at der foretages en stillingtagen om, hvorledes overvågningen af leverandøren skal foretages. Arbejdet forventes gennemført ultimo 2025.

GUL – 3.2.3 Risikovurderinger (Økonomiforvaltningen)

Revisionen henstiller, at de nuværende risikovurderinger styrkes, at der sker en dokumenteret opfølgning på, at etablerede sikringstiltag og kontroller fungerer hensigtsmæssigt, samt at der udarbejdes en plan, som viser, hvor mange systemer, der fremover risikovurderes, og hvor tit det vil blive foretaget. Arbejdet forventes gennemført i første halvår 2025.

Sagen har ingen økonomiske konsekvenser.

I forlængelse af revideringen af årsregnskabet udarbejder revisionen en revisionsberetning.

Revisionsberetningen for regnskab 2023 sendes til kommunen senest den 1. juni 2023 og bliver forelagt for Økonomiudvalget til orientering under dagsordenspunktet ”Meddelelser fra overborgmesteren” på mødet den 11. juni 2024. Økonomiudvalget vil få forelagt handleplaner til håndtering af revisionsberetningen for regnskab 2023 i august 2024.

Søren Hartmann Hede                                                / Nicolai Kragh Petersen

Dagsordenspunkt 2: Revisionsrapport – Revision af generelle IT-kontroller 2023 (2023-0485013)

Økonomiudvalgets beslutning i mødet den 5. marts 2024

Chef for Intern Revision, Jesper Gjøtterup Andersen, og Ulrik Vassing, EY, deltog under punktets behandling, af hensyn til sagens oplysning.

Indstillingens 1. og 3. at-punkt blev taget til efterretning uden afstemning.

Indstillingens 2. at-punkt blev godkendt uden afstemning.

Økonomiudvalget afgav følgende protokolbemærkning:
”Partierne tager IT sikkerhed meget alvorligt og pålægger derfor ØKF hurtigst muligt at få gennemført det arbejde med risikovurdering af IT-systemer, som anbefales i revisionsberetningen. Herunder især af de ældste systemer fra før 2018.”