Mødedato: 24.02.2026, kl. 15:30
Mødested: Rådhuset, Udvalgsværelse F på 2. sal

Revisionsrapport – Revision af generelle IT-kontroller 2025

Se alle bilag

Københavns Kommune har, som led i den løbende revision af regnskab 2025, modtaget revisionsrapporten om revision af generelle IT-kontroller. Der afgives med rapporten fire røde og to gule bemærkninger. Bemærkningerne er givet til Økonomiforvaltningen og Socialforvaltningen. Der lukkes med rapporten tre røde bemærkninger. Der er udarbejdet handleplaner, som følge af revisionsbemærkningerne.

Indstilling

Økonomiforvaltningen indstiller over for Økonomiudvalget,

  1. at ’Revisionsrapport – Revision af generelle IT-kontroller 2025’, jf. bilag 1, tages til efterretning,
  2. at Økonomiforvaltningens handleplaner, jf. bilag 2, godkendes,
  3. at Socialforvaltningens handleplan, jf. bilag 2, tages til efterretning.

Problemstilling

Som led i den løbende revision af Københavns Kommunes regnskab 2025 har kommunens revisor forelagt en revision af de generelle IT-kontroller, som er en del af den lovpligtige revision.

Revisionen vurderer, at Københavns Kommune generelt har et velfungerende kontrolmiljø omkring kritiske rettigheder, som tildeles midlertidigt, men der er konstateret enkelte områder omkring brugeradministration og sikkerhedsopsætning, som bør styrkes i Kvantum.

Der gives med rapporten fire røde og to gule bemærkninger. Der lukkes tre røde bemærkninger med rapporten.

Revisionens bemærkninger samt de dertilhørende handleplaner fremgår af løsningsafsnittet.

Løsning

Revisionsbemærkningerne og de dertilhørende handleplaner fremgår af bilag 2.

RØD – 3.1.1 Tildeling af autorisationer (Kvantum) (Økonomiforvaltningen)

Revisionen har konstateret, at en bruger har tildelt sig selv rettigheder direkte i Kvantum uden om kommunens IGA-løsning. Tildeling af rettigheder direkte i Kvantum er ikke omfattet af ledelsestilsynet. Det henstilles, at tildelingen af rettigheder i Kvantum sker gennem IGA-løsningen.

Økonomiforvaltningen har fulgt op på sagen, og der foreligger nu dokumentation for hele forløbet. Derudover er proceduren for tildelingen af rettigheder blevet genbesøgt for at sikre, at medarbejdere ikke fremadrettet kan tildele sig selv rettigheder. Fremadrettet vil manuelle tildelinger i Kvantum til slutbrugeren blive fjernet af IGA-robotten, og alle tildelinger er desuden underlagt ledelsestilsyn. Initiativerne i handleplanen er afsluttet.

RØD – 3.1.2 Adgang til at administrere batchjobs (Kvantum) (Økonomiforvaltningen)

Det er konstateret, at en række brugere i henholdsvis Koncernservice og KMD har adgang til at administrere batchjobs i Kvantum, hvorved brugerne har mulighed for at oprette, ændre og slette jobs, hvilket medfører risiko for tilsigtet og/eller utilsigtet fejl, som kan påvirke forretningskritiske data. Revisionen henstiller, at adgangen begrænses og primært søges udført via PIM-løsningen.

Økonomiforvaltningen har lavet en ændring, således almindelige brugere ikke længere kan administrere batchjobs. Det er nu kun firefightere- eller PIM-brugere, der bliver logget, som kan administrere batchjobs. Initiativerne i handleplanen er afsluttet.

RØD – 3.2.1 Organisering af informationssikkerhed og styrkelse af ISMS (Økonomiforvaltningen)

Bemærkningen er videreført fra 2024 og er givet, som følge af, at revisionen løbende har påpeget behovet for at styringen og gennemsigtigheden af arbejdet med informationssikkerhed i Københavns Kommune skal styrkes væsentligt. Derudover kommer der nye lovgivninger og reguleringer på området, der blandt andet kræver, at Københavns Kommune har et ISMS (Information Security Management System).

Revisionen henstiller, at arbejdet med ISMS-implementering gennemføres hurtigst mulig, således den periode, hvor der er et ”uklart” billede af den samlede informationssikkerhed reduceres mest muligt.

Økonomiforvaltningen har implementeret en langsigtet handleplan, der forventes afsluttet i 2028. I 2026 arbejdes der blandt andet på at beskrive de væsentligste roller (opgaver) i informationssikkerhedsarbejdet, ligesom der arbejdes på at etablere et grundlag for en systematisk tilgang til styringen af informationssikkerhed på tværs af Københavns Kommune.  

RØD – 3.2.3 Sikkerhedsvurdering af systemer (Økonomiforvaltningen, Socialforvaltningen)

Bemærkningen er ligeledes givet i årene 2022-2024, idet revisionen har konstateret, at IT-systemer, der er ibrugtaget før 1. november 2018, har haft statussen ”ikke godkendt” i FISKK (Fælles Information om Systemer i Københavns Kommune). Status ultimo 2025 var, at forvaltningerne manglede at klarmelde få systemer til sikkerhedsvurdering i Koncern IT.

Revisionen henstiller, at der udføres sikkerhedsvurderinger af IT-systemer ibrugtaget før 2018, samt at systemer med status ”ikke godkendt” eskaleres, og at der træffes de nødvendige foranstaltninger, bl.a. om udfasning, idet systemerne udgør en sikkerhedsrisiko.

Systemerne, der mangler en ibrugtagningstilladelse og sikkerhedsvurdering, tilhører alle Socialforvaltningen. Systemerne er ved at blive udfaset, men samtidig laves der en dispensationsansøgning for systemerne, således de fortsat kan være i drift, indtil de er udfaset. Initiativerne i handleplanen forventes afsluttet i 2026.

GUL – 3.1.3 Password opsætning (Kvantum) (Økonomiforvaltningen)

Det er konstateret, at en gruppe brugere ikke følger Københavns Kommunes passwordpolitik. Det manglende skift af password gør det nemmere for uautoriserede personer at bryde adgangskoderne.

Revisionen anbefaler, at passwordopsætningen følger Københavns Kommunes passwordpolitik. Derudover anbefales det, at adgangskodeparametrene styrkes.

Økonomiforvaltningen har blandt andet implementeret KMD’s sikkerhedspolitik for passwords, således de skal opdateres senest efter 365 dage, og at password-længden er på mindst 30 karakterer. Initiativerne i handleplanen er gennemført.

GUL – 3.2.2 Gennemgang af rettigheder (Kvantum) (Økonomiforvaltningen)

Bemærkningen er videreført fra 2024 og er givet, fordi tildelingen af rettighederne ”Lederhat” og ”Prokuraværdi” sker manuelt via brugeradministrationen i Kvantum. Tildelingen af rettighederne sker ikke via den automatiske tildelingsproces, som håndteres via Omada. Der er ført en manuel kontrol af tildelingerne, men der foreligger ikke dokumentation for fuldstændighed og nøjagtighed af datagrundlaget, der er anvendt til kontroludførslen.

Revisionen anbefaler, at der laves en afstemning af oplysningerne i Omada og Kvantum for rettighederne, da der er en forhøjet risiko for fejl i integrationen ved manuelle tildelinger direkte i Kvantum.

Økonomiforvaltningen vil undersøge mulighederne for en automatisering af gennemgangen af rettigheder. På baggrund heraf designes og implementeres processer, der er systemunderstøttet. Arbejdet forventes afsluttet ultimo 2026.

Der lukkes med revisionsrapporten tre røde revisionsbemærkninger omhandlende ændringshåndtering og brugeradministration af Kvantum.

Økonomi

Sagen har ingen økonomiske konsekvenser.

Videre proces

I forlængelse af revideringen af årsregnskabet udarbejder revisionen en revisionsberetning.

Revisionsberetningen for regnskab 2025 sendes til kommunen senest den 1. juni 2026 og bliver forelagt for Økonomiudvalget til orientering under dagsordenspunktet ’Meddelelser fra overborgmesteren’ i juni 2026. Økonomiudvalget vil få forelagt handleplaner til håndtering af revisionsberetningen for regnskab 2025 i august 2026.

 

Søren Hartmann Hede / Nicolai Kragh Petersen

 

Til top