Mødedato: 23.02.2021, kl. 15:30
Mødested: Telefonmøde via Teams

Revisionsrapport - Generelle it-kontroller 2020

Se alle bilag

Økonomiudvalget skal tage stilling til handleplaner for årets revisionsrapport om generelle it-kontroller, hvor Københavns Kommune i år ikke har fået nye revisionsbemærkninger, og har fået lukket fire tidligere bemærkninger, mens tre røde og to gule bemærkninger er videreført. Revisionsrapportens bemærkninger er dels rettet mod Økonomiforvaltningen, som den tværgående ansvarlige forvaltning for kommunens it-systemer og it-sikkerhed, og dels mod øvrige forvaltninger.

Med denne indstilling forelægges forvaltningernes handleplaner til efterretning og Økonomiforvaltningens handleplaner til godkendelse.

Indstilling

Økonomiforvaltningen indstiller over for Økonomiudvalget,

  1. at ”Revisionsrapport - Revision af generelle it-kontroller 2020”, jf. bilag 1, tages til efterretning,
  2. at Økonomiforvaltningens handleplaner, jf. bilag 2, godkendes,
  3. at øvrige forvaltningers handleplaner, jf. bilag 2, tages til efterretning.

Problemstilling

Som led i den løbende revision af Københavns Kommunes regnskab for 2020 har kommunens eksterne revisor (Deloitte) foretaget en revision af de generelle it-kontroller, som understøtter kommunens regnskabsaflæggelse. Revisionen er en del af den lovpligtige revision og indgår i Deloittes grundlag for påtegningen af årsregnskabet.

Generel sammenfatning

Der er i indeværende revisionsperiode sket et fald i antallet af revisionsbemærkninger for de reviderede områder, mens kommunen ikke har fået nye bemærkninger. Faldet i revisionsbemærkninger kan henføres til udbedring af én revisionsbemærkning i forbindelse med revisionen af de generelle IT-kontroller samt tre revisionsbemærkninger vedr. de gennemførte forvaltningsrevisioner. Endvidere er én revisionsbemærkning fra 2019 nedprioriteret til gul (prioritet 2). 

Vurdering af den generelle forvaltningsrevision
I forhold til den generelle forvaltningsrevision konstaterer Deloitte, at kommunens koncept for risikovurderinger, som er gennemgået for de mest kritiske systemer, og som indeholder et trusselskatalog samt et katalog over sikringsforanstaltninger, er et godt fundament for risikovurderingerne. Endvidere konstateres det, at risikovurderingerne har fået en større ledelsesforankring. Revisionen af den generelle forvaltningsrevision har dermed ikke givet anledning til revisionsbemærkninger.

Endelig er det Deloittes vurdering, at Københavns Kommune bør arbejde videre med implementeringen af en igangværende centraliseret løsning til udførelse af periodisk revurdering af brugere samt tildelte rettigheder i kommunens systemer. Økonomiforvaltningen har igangsat et adgangsstyringsprojekt (IGA) for at imødekomme disse bemærkninger, som forventes afsluttet ultimo marts 2021, hvorved bemærkningerne forventeligt kan lukkes til næste revision.

Vurdering af tidligere års bemærkninger
Der er videreført bemærkninger til Beskæftigelses- og Integrationsforvaltningen, Børn- og Ungeforvaltningen og Økonomiforvaltningen.

Det har givet anledning til, at fire gule revisionsbemærkninger er lukket, mens tre røde revisionsbemærkninger (prioritet 1) og to gule revisionsbemærkninger (prioritet 2) videreføres, hvor den ene (SharePoint) er nedjusteret fra rød til gul.

Et samlet overblik over rapportens revisionsbemærkninger fremgår herunder:

Videreførte revisionsbemærkninger (rød):

  • Styring af brugerrettigheder og systemadgange (Beskæftigelses- og Integrationsforvaltningen, Økonomiforvaltningen)
  • Revisionserklæringer (Økonomiforvaltningen)
  • Pædagogisk IT (Børn- og Ungeforvaltningen)

Andre revisionsbemærkninger (gul):

  • Kvantum –Standard profiler med udvidede rettigheder (Økonomiforvaltningen)
  • SharePoint (Børn- og Ungeforvaltningen) (nedjusteret fra rød)

Lukkede revisionsbemærkninger:

  • Kvantum – Change management – Test (gul, Økonomiforvaltningen)
  • Governancemodellen for anvendelse af SIEM (gul, Økonomiforvaltningen)
  • Governancemodellen for udvikling og drift af robotter / automatiserede processer (gul, Økonomiforvaltningen)
  • It-risikovurderinger (gul, Økonomiforvaltningen).

Bemærkninger og tilhørende handleplaner gennemgås i nedenstående afsnit og er nærmere beskrevet i handleplanerne som fremgår af indstillingens bilag 2.

Løsning

Økonomiforvaltningens handleplaner til revisionsbemærkningerne fremgår af bilag 2 til godkendelse.

Styring af brugerrettigheder og systemadgange (Beskæftigelses- og Integrationsforvaltningen, Økonomiforvaltningen) - rød
Deloitte henstiller til, at der foretages en formel vurdering af funktionsadskillelsen i KMD Opus Debitor og KMD Aktiv, at der periodisk foretages en dokumenteret revurdering af tildelte rettigheder til brugere i KMD Aktiv og Kvantum samt at der ikke er etableret en procedure for periodisk gennemgang af tildelte rettigheder til brugere i KMD Opus Løn, ligesom den månedlige funktionsadskillelseskontrol vedrørende indberetninger ikke er foretaget konsistent i revisionsperioden.

Økonomiforvaltningen har igangsat et adgangsstyringsprojekt (IGA) for at imødekomme disse bemærkninger, som forventes afsluttet ultimo marts 2021, hvorved bemærkningerne forventeligt kan lukkes til næste revision.

KMD Aktiv-løsningen udfases i andet halvår af 2021. For at imødekomme problematikken, er forvaltningerne autorisationsmæssigt adskilt, så der ikke kan laves udbetalinger til andre end dem, der er tildelt roller. For KMD Opus Løn er det indskærpet overfor systemejeren, at kontrol af funktionsadskillelsen skal ske hver måned, jf. arbejdsgangen for systemet.

Herudover har Deloitte på revisionstidspunktet fundet enkelte brugere, som ved en fejl ikke var afsluttet korrekt. Økonomiforvaltningen har efterfølgende håndteret dette, og Koncern IT vil som en ekstra foranstaltning gennemføre en egenkontrol for de brugere, der oppebærer rettigheder, der muliggør oprettelse og nedlæggelse af andre brugere samt tildeling af rettigheder til brugere i Kvantum.

Revisionserklæringer (Økonomiforvaltningen) - rød
Deloitte henstiller, at der indhentes en specifik revisionserklæring for KMD Opus Debitor og KMD Opus Løn for at opnå en højere grad af sikkerhed. Endvidere vil Deloitte følge op på, at der indhentes relevant revisionserklæring vedr. Kvantum for 2020 til sikring af, at de konstaterede forhold i 2019 er lukkede.

Der har løbende i 2020 været drøftelser mellem Økonomiforvaltningen og Deloitte om behovet for en særskilt revisorerklæring for KMD Opus Debitor. Deloitte har besluttet, at der for deres kunder skal udarbejdes en særskilt erklæring. Københavns Kommune vil som led i handleplanen afsøge muligheden for at indgå i et (økonomisk) samarbejde om rekvirering af revisorerklæring på KMD Opus Debitor.

For KMD Opus Løn modtager Økonomiforvaltningen hvert år en KMD revisionserklæring på generelle it-kontroller. Givet meldingen fra Deloitte vil Københavns Kommune, i lighed med KMD Opus Debitor, afsøge muligheden for at indgå i et (økonomisk) samarbejde om rekvirering af en særskilt revisorerklæring på KMD Opus løn.

For Kvantum forventer Økonomiforvaltningen at modtage årlig revisorerklæring den 1. marts 2021. Åbenstående observationer fra revisorerklæring vedr. Kvantumforventes fuldt lukket ved udgangen af Q2 2021 (beskrives nærmere i bilag 2).

BUF IT-drift (Børn- og Ungeforvaltningen) - rød
Deloitte har konstateret, at der ikke er opsat tvunget periodisk skift af password for brugerne, som tilgår BUF IT-drift AD, baseret på KK’s generelle krav til password Det er endvidere oplyst, at BUF IT-drift ikke har implementeret tvunget periodisk skifte af password endnu grundet COVID19.

Det tvungne passwordskifte var planlagt implementeret i foråret 2020. Idet skolerne på det tidspunkt var ramt af nedlukning og hjemmeundervisning som følge af COVID 19, er tidsplanen blevet rykket og forventes nu gennemført inden udgangen af 2021.

Kvantum – Standardprofiler med udvidede rettigheder (Økonomiforvaltningen) - gul
Deloitte konstaterede i 2019, at to SAP standardbrugere hos KMD for SAP* og DDIC ikke var låst eller udløbet.

Låsning af brugerne for SAP og DDIC er aftalt med KMD og procedurer og foranstaltninger for, hvordan de i særlige nødstilfælde kan åbnes midlertidigt, er under udarbejdelse og vil være implementeret senest den 31. marts 2021.

SharePoint (Børn- og Ungeforvaltningen) - gul
Deloitte har konstateret, at alle forvaltninger med undtagelse af Børn- og Ungeforvaltningen har færdiggjort oprydningsprojektet på SharePoint-løsningen. Det er dog forventningen, at Børn- og Ungeforvaltningen vil være færdige med rettighedsoprydning med udgangen af november 2021.

Økonomi

Indstillingen har ingen økonomiske konsekvenser.

Videre proces

Alle handleplaner gennemføres hurtigst muligt med det formål at kunne lukke de afgivne revisionsbemærkninger ved den eksterne revision af kommunens regnskab for 2021. 

 

Søren Hartmann Hede /Mads Grønvall

Beslutning

Dagsordenspunkt 2: Revisionsrapport - Generelle it-kontroller 2020 (2021-0022238)

Økonomiudvalgets beslutning i mødet den 23. februar 2021

Revisor Bryndis Simonardottir fra Deloitte samt chef for Intern Revision, Jesper Andersen, var til stede under behandlingen af dagsordenspunktet af hensyn til sagens oplysning.

Indstillingens 1.at-punkt blev taget til efterretning uden afstemning.

Indstillingens 2.at-punkt blev godkendt uden afstemning.

Indstillingens 3.at-punkt punkt blev taget til efterretning uden afstemning.

Venstre afgav følgende protokolbemærkning:

“Venstre er ikke enig i bemærkningen om KMD Aktiv. Revisionen ønsker en opdeling mellem dem, som kan oprette en betaling fx kontanthjælp eller andet til en borger, og dem, der godkender ydelsen. Dette er imidlertid ikke teknisk muligt i systemet, og da systemet er landsdækkende, gammelt og udfases senere i år, kan Beskæftigelses- og Integrationsforvaltningen ikke ændre i systemet for at gøre det muligt. Det giver ligeledes ikke mening periodisk at vurdere rettighederne, når Beskæftigelses- og Integrationsforvaltningen ikke kan skelne mellem de 2 roller. I stedet har Beskæftigelses- og Integrationsforvaltningen lavet andre kontroller for at hindre evt. misbrug fx ved at kontrollere udbetalingerne.”

Til top