Revisionsrapport vedr. revision af generelle it-kontroller 2019

Resumé

Deloitte har efter normal procedure udarbejdet en revisionsrapport vedr. revisionen af de generelle it-kontroller for 2019. BIF er omfattet af 3 revisionsbemærkninger og derfor blevet bedt om at udarbejde handleplaner til håndtering af bemærkningerne. Handleplanerne fremgår af bilag 2 og er oversendt til ØKF med forbehold for udvalgets godkendelse.

Revisionsbemærkningerne omhandler it-systemerne sharepoint og KMD aktiv samt it-risikovurderinger. 

De udarbejdede handleplaner viser, at forvaltningen er i færd med at håndtere de forhold, som revisionsbemærkningerne peger på.

Indstilling

Beskæftigelses- og Integrationsforvaltningen indstiller,

1. at Beskæftigelses- og Integrationsudvalget godkender de 3 handleplaner jf. bilag 2.

Problemstilling

Efter normal procedure har Deloitte udarbejdet en revisionsrapport vedr. revision af generelle it-kontroller for 2019. Alle forvaltninger er omfattet en ny revisionsbemærkning vedr. it-systemet sharepoint. Sharepoint er en del af Microsoft 365 pakken, der anvendes på administrative arbejdspladser i Københavns Kommune.

I revisionsbemærkningen henstilles, at oprydningsarbejdet (som blandt andet har til formål, at vurdere og klassificere data, vurdere rettighedsstyringen, herunder definere dataejere samt vurdere og gennemgå adgange til data) fortsætter og gennemføres efter planen.

Dertil kommer, at Deloitte viderefører en revisionsbemærkning fra 2018 vedr. styring af brugerrettigheder og systemadgange for KMD aktiv. KMD aktiv er forvaltningens udbetalingssystem.  I revisionsbemærkningen henstilles, at der sker formel vurdering af funktionsadskillelse og denne revurderes løbende.

Begge disse revisionsbemærkninger er markeret med prioritet 1, hvilket er udtryk for, at Deloitte anser risikoen for kritisk.  Revisionsbemærkninger med prioritet 1 skal forelægges de politiske udvalg.

Endelig er der til alle forvaltninger stilet en revisionsbemærkning vedr. it-risikovurderinger.  Denne bemærkning har prioritet 2, hvor risikoen anses for væsentlig. Revisionsbemærkningen anfører, at der for 2019 udestår at få lukket de af Koncern IT fremsatte henstiller vedrørende risikovurderingerne for 2018. 

Forvaltningen er blevet bedt om at udarbejde handleplaner i forhold til de 3 revisionsbemærkninger.

Løsning

Handleplanerne fremgår af bilag 2. Handleplanerne er oversendt til Økonomiforvaltningen med forbehold for udvalgets godkendelse

Vedrørende sharepoint forventes direktionen i BIF i januar 2020 at tage stilling til hvordan oprydningsarbejdes skal gennemføres og oprydningsarbejdet forventes gennemført inden 1.5. 2020.

For KMD aktiv er vurderingen af funktionsadskillelsen i gang ligesom der vil ske en periodisk og dokumentet revurdering af tildelte rettigheder i 2020. Handleplan for funktionsadskillelse vil være udarbejdet senest marts 2020. Brugeradministrationen i Koncernservice vil igen blive anmodet om at følge gældende retningslinjer for tildeling og nedlæggelse af brugere i KMD.

Vedrørende it-risikovurderinger er forvaltningen i løbende dialog med Koncern IT om risikovurderingerne. Der er handlet på alle fremsatte henstillinger, hvorfor der ikke er udeståender.

Økonomi

Indstillingen har ingen økonomiske konsekvenser.

Videre proces

Økonomiudvalget har den 14. januar fået forelagt alle forvaltningers udkast til handleplaner.

Tanja Franck / Jeppe Bøgh Andersen