Bilaga 1 Kommunstyrelsen
2018-03-09 Sidan 1 av 2
Besök Postadress Telefon växel Fax reception Internet
Turebergshuset 191 86 08-579 210 00 08-35 02 90 www.sollentuna.se Turebergs torg Sollentuna
Dnr 2018/0060 KS-2
Diariekod: Diariekod: 103
Yttrande över revisionsrapport avseende generella IT- kontroller
Bakgrund
De förtroendevalda revisorerna har i skrivelse till kommunstyrelsen 2018- 01-23 begärt att styrelsen yttrar sig över revisionsrapporten ” Generella IT kontroller – Visma Affärslösningar” senast 2018-03-29.
Kommunstyrelsens yttrande
Syftet med granskningen har varit att bedöma processer, rutiner och den interna kontrollen kopplat till Visma Affärslösningar för att säkerställa kvaliteten på den finansiella rapporteringen.
Baserat på genomförd granskning, bedöms Sollentuna kommun ha grundläggande rutiner på plats gällande förvaltning av Visma Affärslösningar.
I samband med granskningen noterades sex stycken förbättringsområden inom den interna kontrollen, främst kopplad till hantering av användare och behörigheter.
De iakttagelser som gjorts i samband med granskningen är:
1. IT-styrning/Förvaltning – Avsaknad av uppdaterad förvaltningsplan.
2. Åtkomsthantering – Utvecklare med tillgång till produktionsmiljö.
3. Åtkomsthantering – Avsaknad av rutin för periodisk hantering av användare.
4. Åtkomsthantering – Avsaknad av granskning av priviligierad användares aktivitet.
5. Datordrift – Avsaknad av rutin för återläsningstest.
6. Datordrift – Avsaknad av larmfunktion för automatiska batchjobb.
Kommentarer till iakttagelserna:
I det följande lämnar kommunstyrelsen kommentarer till granskningsresultatet:
1. IT-styrning/Förvaltning – Avsaknad av uppdaterad förvaltningsplan.
Förvaltningsplan för Visma Affärssystem har uppdaterats, presenterats samt godkänts i samband med styrgruppsmöte den 2018-01-22.
2018-03-09
Dnr. 2018/0060 KS-2 Sidan 2 av 2
2. Åtkomsthantering – Utvecklare med tillgång till produktionsmiljö.
Kommunens IT-enhet samt förvaltningsledare redovisning har diskuterat frågan med Visma, där begränsningar har utförts för att minimera risken utifrån PwC:s rekommendationer så inte kritiska funktioner påverkas negativt. I samtal med Visma har nu behörigheter hos utvecklare reducerats från full behörighet till att nu endast ha åtkomst till nödvändiga servrar.
3. Åtkomsthantering – Avsaknad av rutin för periodisk hantering av användare.
Förvaltningsledare för systemet Visma, har i ett första steg gått igenom alla användare för att ta bort de som inte ska ha tillgång till systemet. Utöver detta ses rutinerna över, för att löpande hantera/dokumentera förändringar av användare, men även att årligen fullständigt gå igenom alla användare för att säkerställa behörigheter i systemet.
4. Åtkomsthantering – Avsaknad av granskning av priviligierad användares aktivitet.
Rutin kommer upprättas där det kommer framgå hur uppföljning och granskning av de priviligierade användare, ska ske med hjälp av systemets befintliga loggar.
5. Datordrift – Avsaknad av rutin för återläsningstest.
Process kommer att upprättas utifrån PwC:s rekommendation anpassat till verksamheten med hjälp av IT-enheten.
6. Datordrift – Avsaknad av larmfunktion för automatiska batchjobb.
Process kommer att upprättas utifrån PwC:s rekommendation anpassat till verksamheten med hjälp av IT-enheten.
Prioritering av aktiviteter
Utifrån PwC:s riskbedömning kommer kommunen att focusera på, i första hand, iakttagelserna under punkt 2-4, men även hantera punkterna 5-6.