07.8. Bilaga 6. Uppföljande granskning generella IT-kontroller Visma

(1)

Sollentuna kommun

Uppföljningsgranskning - Generella IT kontroller – Visma Affärslösningar

Mars 2020

Johan Jelbring

Emma Axelsson

(2)

Innehållsförteckning

Sammanfattning av granskningen ... 3

Detaljerade observationer och rekommendationer ...4

Uppföljning av 2017 års granskning och observationer ... 5

Bilaga 1 ... 11

Bakgrund och omfattning till granskningen 2017. ... 11

Uppföljning 2020 ... 12

(3)

Sammanfattning av granskningen

I samband med revisionsplaneringen för Sollentuna kommun har en risk- och väsentlighetsanalys genomförts där system samt applikationer kopplat till den finansiella rapporteringen bedömts som kritiska. Baserat på detta har en uppföljning av 2017 års granskning utav applikationen Visma Affärslösningar (ekonomisystem) genomförts under mars månad av Johan Jelbring (PwC) och Emma Axelsson (PwC). Syftet med uppföljningen har varit att bedöma huruvida de iakttagelser som noterades i 2017 års granskning har åtgärdats av kommunen vid granskningstidpunkten samt ge en uppdaterad bild av hanteringen av ekonomisystemet.

Under 2019 bytte kommunen driftsleverantör och flyttade servrar och delar av sin infrastruktur från dåvarande driftsleverantören Tieto till den nya driftsleverantören Iver som nu även står för applikationsdriften av ekonomisystemet. Utöver förändringar på driftssidan har kommunen även under 2019 infört e-handel och bytt ut delar av Visma Affärslösningar, där modulen för Inköp och faktura (IoF) avvecklades vid månadsskiftet nov/dec 2019 och ersattes av Proceedo. Vidare har kommunen nyligen infört en systemgrupp vars uppgift är att förvalta och styra hanteringen av finansiellt kritiska applikationer, samordna och genomföra kontrolleraktiviteter.

Baserat på genomfört granskning noterades att fem observationer kvarstår i sin helhet eller delvis och att en observation anses åtgärdad. Förvaltningsplaner har tagits fram, dock behöver dessa få in ytterligare detaljer rörande driften för att observationen från 2017 ska anses som helt åtgärdad, varvid den delvis kvarstår. En observation anses vara helt åtgärdad och avser hanteringen av utvecklare med tillgång till produktionsmiljön. Där arbetar nu kommunen strukturerat, tidsbestämda behörigheter för externa parter.

Vi rekommenderar Sollentuna kommun att fortsätta arbetet med att formalisera sin hantering av ekonomisystemet och ta stöd i det goda fundament som byggts tillsammans med leverantörer och inom den egna organisationen. Vår rekommendation är att

kommunen i arbetet framåt i första hand fokuserar på följande kvarstående observationer från 2017:

▪

Avsaknad av rutin för periodisk granskning av användare,

▪

Avsaknad av granskning av priviligierade användares aktivitet.

För mer information avseende observationer se sektion ”Detaljerade observationer och rekommendationer”. För bakgrund och

omfattningen av granskning genomförd 2017 vänligen se Bilaga 1.

(4)

Detaljerade observationer och rekommendationer

Observationerna i denna rapport har graderats efter bedömd väsentlighet, graderingen illustreras med hjälp av definitionerna i nedan tabell. Även om graderingen ofrånkomligen är subjektiv och innehåller inslag av bedömningar och ställningstaganden kan definitionerna vara vägledande.

Hög (H) Kritisk, omedelbar åtgärd.

Visar på en brist med stor påverkan på system, processer och eller intern kontroll att det kan medföra att Sollentuna kommun exponeras för betydande förluster eller väsentliga fel i den finansiella rapporteringen.

Medium (M) Otillräcklig, bör diskuteras av ledningen.

Visar på en brist, som ensam eller i kombination med andra brister kan påverka funktionaliteten/integriteten i system, processer och kontroller samt den finansiella rapporteringen.

Låg (L) Mindre avvikelse.

visar en brist som inte har någon väsentlig påverkan på system, processer och kontroller men som indikerar en möjlighet till förbättrad effektivitet och/eller verkningsgrad av processer och kontroller

Tabellen nedan visar en sammanfattning av de observationer från 2017 som följts upp under årets granskning. Observationens

relaterad riskgradering baserad på dess väsentlighet återfinns den detaljerade tabellen på med start på sida 7.

(5)

Uppföljning av 2017 års granskning och observationer

Ref

# Område Observation 2017 Status Uppföljning 2020

1.

IT-styrning/Förvaltning Avsaknad av uppdaterad förvaltningsplan.

Kvarstår delvis

PwC noterade att vissa delar av förvaltningsplanen behöver utvecklas. PwC bedömer att observationen kvarstår delvis.

2. Åtkomsthantering Utvecklare med tillgång till

produktionsmiljö. Åtgärdad Inga utvecklare har tillgång till produktionsmiljö.

PwC bedömer observationen som åtgärdad.

3.

Åtkomsthantering Avsaknad av rutin för periodisk

granskning av användare. Kvarstår PwC noterade att genomgångar utförs med att dessa ej dokumenteras. PwC bedömer att observationen kvarstår.

4.

Åtkomsthantering Avsaknad av granskning av

priviligierade användares aktivitet. Kvarstår PwC noterade att genomgångar av aktivitet utförs ad hoc och dokumenteras ej. PwC bedömer att

observationen kvarstår 5.

Datordrift Avsaknad av rutin för återläsningstest. Kvarstår PwC noterade att en formell rutin för

återläsningstest ej finns på plats. PwC bedömer att observationen kvarstår.

6.

Datordrift Avsaknad av larmfunktion för

automatiska batchjobb. Kvarstår PwC noterade att det ej finns en formell process eller larmfunktion. PwC bedömer att observationen kvarstår.

För mer information och detaljer gällande respektive observation se tabell på nästkommande sida.

(6)

Observation Risk Rekommendation 1. Avsaknad av uppdaterade förvaltningsplan. (L)

Under granskningen noterades att förvaltningsplan inklusive instruktioner och riktlinjer för applikationen Visma

Affärslösningar inte var uppdaterad. Exempelvis saknades uppdaterad dokumentation gällande:

▪ Riskanalys,

▪ Rutiner gällande behörighetshantering,

▪ Beskrivning av backuphantering,

▪ Kontinuitet och katastrofhantering.

Dock noterades att Sollentuna kommun arbetar med att definiera och implementera en förvaltningsmodell, i samband med detta kommer dokumentation gällandeförvaltningen av applikationen Visma Affärslösningar att uppdateras. Vidare noterades att det finns rutiner och processer för hur

förändringar och uppdateringar ska hanteras.

Uppföljning 2020

PwC noterar att riskanalys och rutiner gällande

behörighetshantering har implementerats och kan återges PwC. Dock saknar förvaltningsplanen detaljer och information runt beskrivning av backuphantering och kontinuitet och katastrof hantering.

Slutsats: Observationen kvarstår delvis.

Avsaknad av en uppdaterad förvaltningsdokumentation ökar risken för att kritiska applikationer inte hanteras i enlighet med verksamhetens krav. Kritiska applikationer som inte hanteras i enlighet med verksamhetens krav kan påverka kritisk data och tillgänglighet för verksamheten.

PwC rekommenderar att Sollentuna kommun fortsätter arbetet med förvaltningsplanen för applikationen Visma Affärslösningar.

Förvaltningsplanen bör som minimum, men inte begränsat till, innehålla följande:

▪ Instruktion och beskrivning av de loggningar som genomförs i applikationen,

▪ Beskrivning av backuphantering,

▪ Kontinuitet och katastrofhantering.

Vidare rekommenderas att en rutin upprättas där förvaltningsplanen revideras årligen inklusive genomgång av riskanalysen.

Dokumentationen bör dateras och signeras av ansvarig förvaltningsledare i syfte att skapa spårbarhet i genomförda aktiviteter och stärka den interna kontrollen.

Kommunens kommentar 2020: Sollentuna kommun kommer under året fortsätta att utveckla rutinerna enligt PwC:s rekommendationer i rapporten.

(7)

Observation Risk Rekommendation 2. Avsaknad av rutin för periodisk granskning av

användare. (M)

Under granskningen noterades att ingen formaliserad kontroll finns på plats gällande periodisk granskning av användare i applikationen Visma Affärslösningar.

Uppföljning 2020:

PwC noterar att en genomgång av inaktiva användare utförs ca två gånger om året men att dessa genomgångar ej

dokumenteras. Arbete pågår däremot för att förbättra dokumentations processen.

Slutsats: Observationen kvarstår.

Avsaknad av periodisk granskning av behörigheter ökar risken för felaktig åtkomst till kritiska applikationer och system. Felaktig åtkomst till

applikationer och system ökar risken för felaktig och/eller bedräglig åtkomst till kritisk data vilket kan påverka den finansiella

rapporteringen.

PwC rekommenderar att Sollentuna kommun implementerar en rutin där användare i applikationen Visma Affärslösningar granskas regelbundet. Granskningen bör, som minimum, genomföras en gång per år och säkerställa att användare har behörighet till systemet i enlighet med sina arbetsuppgifter.

Underlag och dokumentation av granskningen bör arkiveras i syfte att skapa spårbarhet av genomförd kontroll och stärka den interna kontrollen.

(8)

Observation Risk Rekommendation 3. Avsaknad av granskning av priviligierade

användares aktivitet. (M)

I samband med granskningen noterades att ingen formell process finns på plats för uppföljning och/eller övervakning av aktivitet som är utförd av användare med priviligierade åtkomst (dvs. hög behörighet) i applikationen Visma Affärslösningar.

Dock noterades att loggning är aktiverad i systemet och uppföljning kan genomföras (dvs. spårbarhet i transaktioner finns på plats) vid incidenter, dock sker ingen aktiv

uppföljning.

Det noterades under granskningen att ingen formell process för granskning av priviligierade användares aktivitet finns på plats. Dock genomförs det granskningar vid behov men dessa genomgångar av aktivitet dokumenteras ej.

Avsaknad av processer och rutiner för uppföljning av priviligierade användares aktivitet ökar risken för felaktig och/eller bedrägliga transaktioner. Felaktiga och/eller bedrägliga transaktioner kan påverka data och funktioner som är kritiska för den finansiella rapporteringen.

PwC rekommenderar att Sollentuna kommun implementerar processer och rutiner för uppföljning av priviligierade användares aktivitet i syfte att validera fullständighet och riktighet i transaktioner och förändringar.

Exempelvis kan en riskanalys genomföras av kritiska data i applikationen, loggfunktioner aktiveras för övervakning av data och en rutin implementeras där en användare periodisk granskar dessa loggar. Användare bör inte ha åtkomst till applikationen och/eller högre behörighet i syfte att säkerställa oberoende granskning av förändringar till kritiska data.

Underlag och dokumentation från genomförd uppföljning eller granskning bör arkiveras i syfte at skapa spårbarhet i genomförd kontroll och stärka den interna kontrollen.

(9)

Observation Risk Rekommendation 4.

Avsaknad av rutin för återläsningstest. (L)

Under granskningen noterades att ingen dokumenterad rutin finns på plats gällande återläsning av data för applikationen Visma Affärslösningar.

Det noterades under granskningen att en rutin för att regelbundet återläsa och testa en tagen backup ej finns på plats.

Avsaknad av formaliserad process för återläsningstester av data ökar risken för att data inte kan återläsas i händelse av en incident. Data som ej kan återläsas kan påverka den operativa verksamheten och information som är kritisk för den finansiella rapporteringen.

PwC rekommenderar att Sollentuna kommun upprättar en process för genomförande och dokumentation av återläsning av data för applikationen Visma Affärslösningar.

Dokumentationen bör som minimum, men inte begränsat till, omfatta:

▪ När test genomfördes,

▪ Vad som testats,

▪ Resultatet av testet,

▪ Vem som genomfört testet.

Återläsning av data bör som minimum genomföras en gång per år och

dokumentationen bör arkiveras för att skapa spårbarhet samt stärka den interna kontrollen.

Kommunens kommentar 2020:Sollentuna kommun kommer under året fortsätta att utveckla rutinerna enligt PwC:s rekommendationer i rapporten.

(10)

Observation Risk Rekommendation 5. Avsaknad av larmfunktion för automatiska

schemalagda jobb och integrationer. (L)

Under granskningen noterades att ingen automatisk kontroll finns på plats vilken identifierar och larmar när ett

schemalagt jobb (batchjobb) eller en integration har fallerat.

Vidare noterades att ingen formell process finns på plats gällande uppföljning och åtgärd av fallerade

jobb/integrationer.

Det noterades under granskningen att viss funktionalitet gällande automtiska notifikationer finns på plats men att det ej finns någon formell process gällande uppföljning och åtgärd av fallerade schemalagda jobb.

Avsaknad av övervakning och larm funktioner kopplade till batchjobb ökar risken för att kritiska

transaktioner inte genomförs fullständigt och riktigt. Kritiska transaktioner som ej genomförts fullständigt och riktigt kan påverka data som är kritiskt för den

finansiella rapporteringen.

PwC rekommenderar att Sollentuna kommun analyserar och utvärdera möjligheterna till att automatiskt övervaka kritiska batchjobb eller integrationer i applikationen Visma

Affärslösningar.

Exempelvis kan en riskanalys utgöra grunden för vilka batchjobb som är kritiska i

applikationen, baserat på analysen bör

övervakning och larmfunktioner upprättas där ansvarig användare noteras vid de tillfällen ett batchjobb inte genomförts fullständigt och riktigt.

Vidare rekommenderar vi att Sollentuna kommun upprättar en formaliserad process vilken säkerställer att fallerade batchjobb åtgärdas fullständigt och riktigt. Fallerade batchjobb bör registreras som incidenter och dokumenteras i syfte att säkerställa spårbarhet i genomförda transaktioner samt stärka den interna kontrollen.

(11)

Bilaga 1

Bakgrund och omfattning till granskningen 2017.

I samband med revisionsplaneringen för Sollentuna kommun har en uppdatering av risk- och väsentlighetsanalys genomförts där system samt applikationer kopplat till den finansiella rapporteringen bedömts som kritiska. Granskningen tar sin utgångspunkt i SKYREVS´s utkast till vägledning för redovisningsrevision i kommuner och landsting

¹

. Baserat på denna analys har applikationen Visma Affärslösningar (ekonomisystem) granskats i syfte att bedöma rutiner avseende förvaltning och intern kontroll. Granskningen har baserats på generella IT-kontroller (ITGC) inom domäner som specificeras i nedanstående tabell.

Granskningen avsåg perioden 1 januari till 31 oktober 2017 för ITGC domänerna i tabellen nedan:

ITGC Domän Kontrollområde

IT-styrning/Förvaltning ▪ Policy och styrande dokument,

▪ Roller och ansvar,

▪ Gränssnitt mellan IT och verksamhet,

▪ IT organisation och kontroll över IT,

▪ Förståelse för applikationerna och IT-miljön.

Förändringshantering ▪ Rutin och process gällande förändringar till kritiska applikationer,

▪ Testning av nya förändringar,

▪ Godkännande av förändringar innan produktionssättning.

1 Vägledningen baseras på ISA, International Standards on Auditing och behandlar ett antal förhållanden som kräver särskilda tillämpningsanvisningar. Syftet är att utveckla god revisionssed för redovisningsrevision i kommunal sektor.

(12)

ITGC Domän Kontrollområde

Åtkomsthantering ▪ Process för uppläggning, ändring och borttagning av behörigheter,

▪ Periodisk granskning av behörigheter,

▪ Hantering av säkerhetsinställningar,

▪ Loggning och översyn av loggar,

▪ Hantering av priviligierade användare.

Datordrift ▪ Backup hantering och återläsning,

▪ Hantering av batch jobb,

▪ Katastrof- och kontinuitetshantering,

▪ Hantering av tredjepartsleverantör.

Granskningen 2017 baserades på intervjuer med nyckelpersoner hos Sollentuna kommun och granskning av underliggande dokumentation.

Uppföljning 2020

Uppföljningsgranskningen har involverat följande personer från Sollentuna kommun:

•

Agneta Sandström (System-/redovisningscontroller, Redovisningsenheten),

•

Mikael Sörlander (Redovisningschef),

•

Sabina Degen (Fövaltare ekonomisystemet leverantörsreskontra),

•