Revisionsrapport - Generelle it-kontroller 2019
Økonomiudvalget skal tage stilling til handleplanerne til årets revisionsrapport om generelle it-kontroller. Revisionsrapporten peger på områder, hvor revisionen ikke finder, at kommunens praksis og kontroller har været tilfredsstillende. Bemærkningerne er dels rettet mod Økonomiforvaltningen, som den tværgående ansvarlige for kommunens it-systemer og it-sikkerhed og dels mod de øvrige forvaltninger. Med denne indstilling forelægges forvaltningernes handleplaner til efterretning og Økonomiforvaltningens egne handleplaner til godkendelse.
Indstilling
Økonomiforvaltningen indstiller over for Økonomiudvalget,
- at ”Revisionsrapport - Revision af generelle it-kontroller 2019”, jf. bilag 1, tages til efterretning,
- at Økonomiforvaltningens handleplaner, jf. bilag 2, godkendes,
- at alle øvrige forvaltningers handleplaner, jf. bilag 2 tages til efterretning.
Problemstilling
Som led i den løbende revision af Københavns Kommunes regnskab for 2019 har kommunens eksterne revisor Deloitte foretaget en revision af de generelle it-kontroller, som understøtter kommunens regnskabsaflæggelse. Revisionen er en del af den lovpligtige revision og indgår i Deloittes grundlag for påtegningen af årsregnskabet.
Revisionen konstaterer, at konceptet for risikovurderinger, som er gennemgået for de mest kritiske systemer, og som indeholder et trusselskatalog samt et katalog over sikringsforanstaltninger, er et godt fundament for risikovurderingerne. Endvidere konstateres det, at risikoanalyserne har fået en større ledelsesforankring, men at forvaltningerne mangler at implementere Økonomiforvaltningens (ved Koncern IT) henstillinger.
It-revisionen har givet anledning til fire røde revisionsbemærkninger, heraf to nye, samtidig lukkes to bemærkninger.
Der er givet en ny rød bemærkning til alle forvaltninger vedrørende anvendelsen af Sharepoint Online (sikker opbevaring af data) og en ny rød bemærkning til Børne- og Ungdomsforvaltningens system Pædagogisk IT (PIT) for manglende efterlevelse af Københavns Kommunes it-sikkerhedspolitik for passwords. Der videreføres røde bemærkninger til Beskæftigelses- og Integrationsforvaltningen og Økonomiforvaltningen for brugeradgange til KMD Aktiv, KMD Opus og Kvantum og til Økonomiforvaltningen for manglende indhentning af revisorerklæring for KMD Debitor.
Der er desuden afgivet seks gule bemærkninger (prioritet 2), vedrørende: Kvantum – standardprofiler med udvidede rettigheder, Kvantum – change management test, Governance-modellen for anvendelse af SIEM, Governancemodellen for udvikling og drift af robotter / automatiserede processer og It-risikovurderinger. Alle gule bemærkninger er givet til Økonomiforvaltningen.
De røde bemærkninger og tilhørende handleplaner gennemgås i nedenstående afsnit, mens alle bemærkninger og handleplaner fremgår af indstillingens bilag 2.
Løsning
Alle forvaltninger har udarbejdet handlingsplaner på de relevante områder, disse behandles på de politiske fagudvalg i løbet af januar. Herunder gives en kort gennemgang af de kritiserede forhold og handleplanerne hertil på de røde (prioritet 1) bemærkninger.
Sharepoint – Alle forvaltninger
Revisionen konstaterer, at Datatilsynet primo i oktober 2019) har udtrykt alvorlig kritik af Københavns Kommunes anvendelse af det cloudbaserede fildelingsværktøj Sharepoint, da Datatilsynet via et anonymt tip har konstateret, at der indgår fortrolige personoplysninger om kommunens medarbejdere i løsningen.
Der er igangsat et arbejde på tværs af alle forvaltninger med at rydde op på fællesdrev, herunder klassificere og ansvarsplacere data, samt gennemgå og begrænse adgang til data. Der afrapporteres løbende på arbejdet til kredsen af direktører på it-området. Revisionen henstiller til, at oprydningsprojektet fortsætter i alle forvaltninger, og gennemføres efter planen. Arbejdet forventes afsluttet senest pr. 30. juni 2020.
Pædagogisk it (PIT) – Børne- og Ungdomsforvaltningen
Revisionen har konstateret, at Pædagogisk it i Børne- og Ungdomsforvaltningen, der er ansvarlige for at administrere, drifte og supportere it på kommunens skoler og en række institutioner, ikke har overholdt kommunens regler på it-sikkerhedsområdet, herunder krav om opdatering af passwords mv.
Børne- og Ungdomsforvaltningen har oplyst, at man i begyndelse af 2020 vil implementere opdaterede krav til passwords mv., således at disse lever op til kommunens generelle krav.
Styring af brugerrettigheder og systemadgange – Beskæftigelses- og Integrationsforvaltningen og Økonomiforvaltningen
Revisionen henstiller, at der foretages en formel vurdering af funktionsadskillelsen i KMD Opus og KMD Aktiv således, at der på baggrund af en konkret risikovurdering udarbejdes en oversigt over roller/adgangsrettigheder, der – ud fra ønsket om opretholdelse af en organisatorisk funktionsadskillelse – ikke bør tildeles samme brugere.
Revisionen henstiller, at der periodisk foretages en dokumenteret revurdering af tildelte rettigheder til brugere i KMD Opus, KMD Aktiv og Kvantum.
Inden udgangen af 2019 er der blevet etableret processer for periodisk revurdering af de tildelte autorisationer til Kvantum og Opus Debitor. I løbet af første kvartal 2020 udarbejdes et koncept for funktionsadskillelse i OPUS Debitor, samt håndtering af fratrædelse af både Opus Debitor, Kvantum og KMD aktiv. På længere sigt forventes der inden fjerde kvartal 2021 at være etableret en fuldautomatisk løsning til at understøtte tildeling mv. af autorisationer.
Revisionserklæringer – Økonomiforvaltningen
Revisionen påtalte i 2018, at Københavns Kommune ikke havde indhentet revisionserklæringer for Kvantum, KMD Opus Debitor og KMD Aktiv. Der er indhentet revisionserklæringer for 2019 for Kvantum og KMD Aktiv, og KMD har iværksat tiltag, der skal afhjælpe de forhold, der er påtalt. Der udestår revisionserklæring på KMD Opus Debitor. KMD har ikke tidligere fået udarbejdet en specifik revisorerklæring for Opus Debitor, men alene en generel revisorerklæring dækkende alle KMD-systemer.
Det er med KMD aftalt, at systemrevisionserklæring for 2019 for Kvantum skal foreligge senest den 1. marts 2020. Specifik revisorerklæring for Opus Debitor er bestilt hos KMD, der undersøger muligheden for at få udarbejdet en fælles, specifik revisorerklæring for Opus Debitor til alle 70 kommuner, der i dag anvender systemet.
Med denne rapport lukkes to bemærkninger fa 2018 vedr. beredskabsplaner og it-risikoanalyse for Kvantum.
Økonomi
Indstillingen har ingen økonomiske konsekvenser.
Videre proces
I forlængelse af revidering af årsregnskabet udarbejder revisionen en revisionsberetning, hvor der tages stilling til hvilke bemærkninger, der skal lukkes eller videreføres.
Revisionsberetningen for regnskab 2019 afleveres til kommunen senest den 1. juni 2020 og bliver forelagt Økonomiudvalget til orientering under dagsordenens punktet "Meddelelser fra overborgmesteren" på mødet den 9. juni 2020. Økonomiudvalget vil få forelagt handleplaner for håndtering af revisionsberetningen for regnskab 2019 på deres møde den 11. august 2020.
Beslutning
Økonomiudvalgets beslutning i mødet den 14. januar 2020.
Revisor Lars Kronow fra Deloitte og chef for Intern Revision, Jesper Andersen, var til stede under behandlingen af dagsordenspunktet af hensyn til sagens oplysning.
Indstillingens 1. og 3. at-punkt blev taget til efterretning uden afstemning.
Indstillingens 2. at-punkt blev godkendt uden afstemning.