Revisionsrapport vedr. revision af generelle it-kontroller 2018

Med denne indstilling forelægges Økonomiudvalget Deloittes Revisionsrapport vedr. revision af generelle it-kontroller til efterretning. Revisionsrapporten er en af de løbende rapporter fra kommunens revision og er med til at danne grundlag for revisionen af årsregnskabet 2018, som skal afleveres til kommunen senest 1. juni 2019.

Revisionsrapporten påpeger en række områder, hvor revisionens ikke finder, at kommunens praksis og kontroller har været tilfredsstillende. Bemærkningerne er primært rettet mod Økonomiforvaltningen, som den tværgående ansvarlige for kommunens it-systemer mv., men der er også forhold som kritiseres i de øvrige forvaltninger. Med denne indstilling forelægges forvaltningernes handleplaner til Økonomiudvalgets efterretning.

Indstilling

Økonomiforvaltningen indstiller over for Økonomiudvalget,

1. at ”Revisionsrapport - Revision af generelle it-kontroller 2018”, jf. bilag 1, tages til efterretning, 
2. at forvaltningens handlingsplan, jf. bilag 2, tages til efterretning.

Problemstilling

Som led i den løbende revision af Københavns Kommunes regnskab for 2018 har Deloitte foretaget en revision af de generelle it-kontroller, som understøtter kommunens regnskabsaflæggelse. Revisionen er en del af den lovpligtige revision og indgår i Deloittes grundlag for påtegningen af årsregnskabet.

It-revisionen har givet anledning til tre røde revisionsbemærkninger, der alle er nye bemærkninger i forbindelse med den udførte it-revision. Bemærkningerne og tilhørende handleplaner gennemgås i nedenstående afsnit. Der er desuden afgivet seks gule bemærkninger (prioritet 2), vedrørende: Revisionserklæringer It-sikkerhedsvurderinger, Beredskabsplaner, , Governance-modellen for anvendelse af SIEM, Governance-modellen for udvikling og drift af robotter/automatiserede processer og It-risikoanalyse – Kvantum. Bemærkningerne og handleplanerne hertil fremgår af indstillingens bilag 2.

Bemærkningerne vedrørende it-sikkerhedsvurderinger og beredskabsplaner er givet til alle forvaltninger, og fokuserer på at sikre direktionens opmærksomhed på områderne. De øvrige bemærkninger (både røde og gule) er givet til Økonomiforvaltningen, som den tværgående ansvarlige enhed for kommunens it-forhold.

Nedenstående tabel viser udviklingen i bemærkninger vedrørende generelle it-kontroller. Det bemærkes, at flertallet af bemærkninger forventes lukket endeligt med revideringen af regnskabet for 2018. Bemærkninger, der er røde i den løbende revision, optræder som udgangspunkt som revisionsbemærkninger i årsrevisionen, mens i gule bemærkninger ikke optræder i årsrevisionen, men gentages i den løbende revision indtil de lukkes.

Tabel 1: Udvikling i revisionsbemærkninger på it-området 2017-2018

Røde revisionsbemærkninger

I nedenstående gennemgås de tre røde revisionsbemærkninger, der er givet, og handlingsplanerne hertil. Der gælder for alle tre forhold, at de er håndteret i 2019, men forventes at optræde som røde bemærkninger i revisionsberetningen for 2018.

Styring af brugerrettigheder og systemadgange

Revisionen henstiller, at kommunen laver en risikovurdering af brugerrettighederne i de fire store tværgående systemer (KMD Opus, KMD Aktiv, Kvantum og E-doc) med henblik på at sikre funktionsadskillelse og dermed mindske risikoen for svig. Revisionen har konstateret, at der i løbet af 2018 ikke i tilstrækkeligt omfang, er foretaget en sådan kontrol. Der bør foretages en fast, dokumenteret kontrol af, at brugerne i systemerne har tilstrækkelige, men ikke for vidtgående adgange, samt det sikres, at brugerprofilerne lukkes ved fratrædelser, og at der foreligger den nødvendige dokumentation ved oprettelse af brugere i systemerne.

Handleplan

Koncernservice udarbejder og implementerer forretningsregler for lukning af inaktive brugere i Kvantum og KMD Opus, samt sikrer, at lederne får de nødvendige dataudtræk til at kunne føre tilsyn med rettighederne til Kvantum og KMD Opus. Koncern IT foretager hvert år et udtræk over de adgange som findes i eDoc. Udtrækket fremsendes til forvaltningerne, som skal sikre sig, at brugerne har de korrekte rettigheder.

Koncernservice laver derudover fremadrettet en årlig analyse for at sikre funktionsadskillelse. Hvis der identificeres konflikter, kan disse håndteres gennem både organisatoriske og kontrolmæssige tiltag. Man arbejder herudover på en investeringscase på et SAP-baseret værktøj, som kan lave en automatisk, præventiv kontrol på området.

Kvantum – Standardprofiler med udvidede rettigheder

Revisionen har konstateret, at en række personlige brugere er tildelt rettigheden "SAP_ALL" i Kvantum, denne adgang bør alene gives til dedikerede nødbruger identer og dermed ikke til enkeltpersoner. Ved at give denne adgang til Kvantums produktions moduler, forøges risikoen for uautoriserede ændringer til systemet, data mv., da "SAP_ALL" giver ubegrænset adgang til SAP. Brugerne "DDIC "og "SAP*" er SAP standard brugere, der udelukkende anvendes af KK’s driftsleverandør (KMD). Brugerne har password, der kun kendes af Secure Server hos KMD. Der er begrænset antal brugere, der har adgang til at få oplyst password til dem, og når de får password, bliver det logget på Secure Server.

Revisionen henstiller, at kommunen ikke giver rettigheder til Kvantum, som alene bør anvendes af dedikerede nødbrugere, som ikke er knyttet til enkeltpersoner, samt at man generelt genbesøger anvendelsen af særrettigheder til systemet.

Handleplan

I forhold til brugere med "SAP_ALL" adgange, er der fulgt op på dette forhold, og der er ikke længere nogen KK brugere med disse rettigheder. Koncernservice foretager fremadrettet en årlig analyse for at afdække risici ved manglende funktionsadskillelse; der følges op på eventuelle risici med enten organisatoriske omplaceringer eller opfølgende kontroller. Samtidigt stiller Koncernservice data til rådighed for forvaltningernes ledelsestilsyn på området og yder support hertil.

I forhold til " SAP*" og "DDIC" har KMD etableret en procedure for anvendelsen af rettighederne således at de dokumenteres på KMD secure server, og kun anvendes ved behov for nødbrugeradgang, når alt andet går galt.

Kvantum – Change management – Test

Revisionen henstiller, at der i forbindelse med alle ændringer til idriftsættelse sker dokumentation af den gennemførte tests omfang og kvalitet. Manglende eller utilstrækkelig anvendelse og godkendelse af testplaner og -scenarier i forbindelse med test af ændringer medfører risiko for, at kvaliteten og omfanget af gennemførte test og resultaterne heraf ikke er i overensstemmelse med forventningerne, og dermed at der idriftsættes fejlbehæftede tilretninger.

Handleplan

Koncernservice er i gang med at implementere en proces for test af ændringer, der implementeres i Kvantum, i takt med implementering af egentlig releasestyring vil testprocessen blive yderligere forfinet.

Økonomi

Indstillingen har ingen økonomiske konsekvenser.

Videre proces

I forlængelse af revidering af årsregnskabet udarbejder revisionen en revisionsberetning, hvor der tages stilling til hvilke bemærkninger, der skal lukkes eller videreføres.

Revisionsberetningen for regnskab 2018 afleveres til kommunen senest den 1. juni 2019 og bliver forelagt Økonomiudvalget til orientering under dagsordenens punktet "Meddelelser fra overborgmesteren" på mødet den 11. juni 2019. Økonomiudvalget vil få forelagt handleplaner for håndtering af revisionsberetningen for regnskab 2018 på deres mødet den 13. august 2019.

Dagsordenspunkt 4: Revisionsrapport vedr. revision af generelle it-kontroller 2018 (2019-0046963)

Økonomiudvalgets beslutning i mødet den 19. marts 2019

Lars Kronow fra Deloitte og chefen for Intern Revision, Jesper Andersen, var til stede under behandlingen af dagsordenspunktet af hensyn til sagens oplysning.

Indstillingen blev taget til efterretning uden afstemning.