Revisionsrapport vedr. revision af generelle it-kontroller

Indstilling

Økonomiforvaltningen indstiller over for Økonomiudvalget,

1. at ”Revisionsrapport vedr. revision af generelle it-kontroller”, jf. bilag 1, tages til efterretning,  
2. at forvaltningens handlingsplan, jf. bilag 2, tages til efterretning.

Problemstilling

Som led i den løbende revision af Københavns Kommunes regnskab for 2017 har Deloitte foretaget en revision af de generelle it-kontroller, som understøtter kommunens regnskabsaflæggelse. Revisionen er en del af den lovpligtige revision og indgår i Deloittes grundlag for påtegningen af årsregnskabet.

Revisionen konstaterer i rapporten, at kommunen har udarbejdet en indstilling til styrket IT governance på it- og persondataområdet, samt at IT governance-modellen trådte i kraft den 1. januar 2018 med en række initiativer, der skal etableres i løbet af 2018. Der skal bl.a. gennemføres et risikovurderingsprojekt, hvor risikovurderinger udføres i et pilotforsøg med henblik på at gennemføre risikovurderinger i en mere færdig form i alle forvaltninger i 2018.

Det er revisionens vurdering, at der med it-sikkerhedsregulativet og sikkerhedsprogrammet er igangsat et omfattende arbejde, som har givet et generelt løft i it-sikkerheden i kommunen.

It-revisionen har givet anledning til i alt 2 revisionsbemærkninger. Af de afgivne revisionsbemærkninger kan:

• 1 revisionsbemærkning henføres til en ny bemærkning i forbindelse med den udførte it-revision vedrørende revisionserklæringer

• 1 revisionsbemærkninger henføres fra tidligere år til revisionen af årsregnskabet vedrørende It-risikoanalyse

2 revisionsbemærkninger fra tidligere år vurderes lukket i forbindelse med den udførte revision vedrørende datasikkerhed og sikkerhed - kontinuerlig overvågning.

Hertil kommer, at revisionen har medført seks gule bemærkninger (prioritet 2). Det drejer sig om Beredskabsplaner, It-sikkerhedspolitik og it-sikkerhedsregler, Sikkerhedsprogram, IT-governance, Datasikkerhed og It-risikoanalyse – Kvantum. Handleplaner for disse gule bemærkninger fremgår af bilag 2.

Revisionserklæringer (rød) ØKF

Revisionen indstiller, at der indhentes specifikke revisionserklæringer vedrørende KMD’s drift af Kvantum og KØR. 

Det er oplyst, at Københavns Kommune har anmodet KMD om en specifik erklæring på Kvantum, ligesom det er aftalt, at der tilvejebringes den nødvendige erklæring vedrørende KØR, som efter det oplyste vil foreligge inden afgivelse af revisionsberetningen for 2017.

IT risikoanalyse - Forvaltningerne (rød)

Revisionen har konstateret, at Københavns Kommune i 2017 har iværksat en proces med henblik på vurdering samt udvælgelse af fagsystemer, som skal indgå i det påbegyndte risikovurderingsprojekt, hvor fokus primært er systemer, som indeholder personfølsomme data. De gennemførte risikovurderinger er udført i et pilotforsøg med henblik på at gennemføre risikovurderinger i en mere færdig form i alle forvaltninger i 2018, herunder it-infrastruktur.

Revisionen henstiller, at forvaltningerne tilvejebringer den nødvendige dokumentation, og at Koncern IT (KIT) snarest herefter gennemfører it-risikovurderingerne i overensstemmelse med kravene i it-sikkerhedsregulativet, og at de gennemføres snarest muligt.

Lukkede bemærkninger

Revisionen konstaterer med revisionsrapporten, at to revisionsbemærkninger afgivet med årsberetningen for 2016 kan konstateres lukket. Det drejer sig om følgende:

• Revisionsbemærkning 11.2 Datasikkerhed (2016):
  Revisionen vurderer, at størstedelen af tidligere rapporterede forhold vurderes lukket.
  

• Revisionsbemærkning 11.3 Sikkerhed – kontinuerlig overvågning (2016):
  Revisionen har konstateret, at der nu er etableret en centraliseret løsning af log management. Logdata opsamles i kommunens centrale SIEM-system, hvorfra der på baggrund af en automatiseret proces sker rapportering af udvalgte hændelser. Punktet lukkes.

Løsning

Økonomiforvaltningen, KIT har udarbejdet nedenstående handleplaner til de røde revisionsbemærkninger. Handleplaner for de gule revisionsbemærkninger fremgår af bilag 2.

Revisionserklæringer (rød)

Revisorerklæring for Kvantum er under indhentning fra KMD. Revisorerklæring for KØR er under indhentning fra Deloitte.

Begge erklæringer vil foreligge inden afgivelse af revisionsberetningen for 2017, således at observationen forventes i grøn inden årsrevisionen.

IT risikoanalyse (rød)

På baggrund af erfaringerne fra risikovurderingerne i 2017 er der foretaget en række justeringer ift. risikokonceptet for 2018. KIT vil i den forbindelse dels adressere spørgsmålet om manglende dokumentation over for forvaltningerne, dels gennemføre risikovurderinger i videst muligt omfang til trods for en eventuel mangel på dokumentation.

KIT færdiggør pt. alle standarddokumenter til brug for risikovurderingerne 2018. Konceptet for risikovurderinger præsenteres for Digitaliseringschefkredsen (DCK) og It-kredsen ultimo 2. kvartal 2018.

Forvaltningerne kontaktes i løbet af maj 2018 med henblik på tilrettelæggelse af forløbet, hvorefter risikovurderingerne i praksis gennemføres i tredje og fjerde kvartal. Efter udarbejdelse af risikovurderinger for de enkelte forvaltninger og den samlede risikovurdering for kommunen, orienteres Økonomiudvalget og Borgerrepræsentationen om kommunens samlede risikobillede. Dette forventes at ske ultimo 2018.

Økonomi

Indstillingen har ingen økonomiske konsekvenser.

Videre proces

I forlængelse af revidering af årsregnskabet udarbejder revisionen en revisionsberetning, hvor der tages stilling til hvilke bemærkninger, der skal lukkes eller videreføres.

Revisionsberetningen for regnskab 2017 afleveres til kommunen senest den 1. juni 2018 og bliver forelagt Økonomiudvalget til orientering under dagsordenens punktet "Meddelelser fra overborgmesteren" på mødet den 12. juni 2018. Økonomiudvalget vil få forelagt handleplaner for håndtering af revisionsberetningen for regnskab 2017 på deres mødet den 14. august 2018.