Mødedato: 25.01.2017, kl. 11:00
Mødested: Comwell, Snekkersten

Deloittes revision af generelle IT-kontroller 2016

Se alle bilag
Der skal tages stilling til Deloittes rapport angående generelle IT-kontroller for 2016.

Indstilling

Økonomiforvaltningen indstiller over for Økonomiudvalget,

  1. at orienteringen om Deloittes rapport "Revision af generelle IT-kontroller 2016" samt Koncernservices handlingsplan hertil tages til efterretning.

Problemstilling

Som led i den løbende revision af Københavns Kommunes regnskab for 2016 har Deloitte foretaget revision af de generelle IT-kontroller, som understøtter kommunens regnskabsaflæggelse. På baggrund af deres revision af de generelle IT-kontroller, som de fandt relevante for at understøtte revisionen af årsrapporten for Københavns Kommune, har Deloitte ikke identificeret væsentlige svagheder, og rapporten indeholder ingen prioritet 1 markeringer (rød).

Revisionen har følgende observationer, der er markeret som prioritet 2 (gul):

  • It-sikkerhedslogning
  • Windows AD (Teknik- og Miljøforvaltningen (TMF)) - "No Password Expiration"

Der har været en positiv udvikling i antallet af observationer med prioritet 1 og 2 markering. Fire af de syv observationer, der indgik i rapporten for 2015, er blevet lukket og indgår ikke i rapporten for 2016. Det drejer sig om følgende:

  • Brugerrettigheder - Periodisk revurdering (KPS-CICS)
  • Ændringskontrol - fallback (KØR)
  • Brugerrettigheder og funktionsadskillelse i TMF
  • Windows AD (TMF) - Administrators

Revisionen af de generelle it-kontroller har ikke omfattet en vurdering af kontrol- og sikkerhedsniveauet i de enkelte brugersystemer, herunder automatiske kontroller i de administrative processer og logiske adgangsrettigheder til udførelse af forretningsaktiviteter i brugersystemerne. Københavns Kommune modtager årligt en revisionserklæring for de generelle IT-kontroller omfattende de fælleskommunale systemer, som driftes hos KMD. For øvrige systemer der er specifikke for Københavns Kommune, herunder KØR, Udbudsportalen og Vagtplan, som ikke er omfattet af de gennerelle erklæringer fra KMD, udarbejder Deloitte en specifik erklæring ultimo januar 2017.

Løsning

Koncern IT har udarbejdet følgende handleplaner for rapportens observationer:

IT-sikkerhedslogning

Systemejer for AD vil i 2017 udarbejde en formel beskrivelse af de allerede eksisterende GPO'er (logningspunkter) i AD. Ydermere vil systemejer udarbejde en procesbeskrivelse for kontrol af logs.

Spørgsmålet om logning og tilhørende kontroller vil i øvrigt indgå som en naturlig del af risikovurderingsteamets arbejde.

Windows AD (TMF) - "No Password Expiration"

Koncern IT vil iværksætte en undersøgelse af årsagen til eksistens af brugerkonti, hvor egenskaben "password never expires" er sat. Der vil herefter blive iværksat en handlingsplan, der vil indeholde en proces for ændring af de brugerkonti, hvor egenskaben ikke skal være gældende, samt fastlægge en proces for dokumentation og kontrol.

Økonomi

Indstillingen har ingen økonomiske konsekvenser.

Videre proces

Økonomiforvaltningen vil sørge for at ovennævnte handlingsplaner bliver udført.

 

Peter Steensgaard Mørch                               /  Mads Grønvall

Beslutning

Dagsordenspunkt 5: Deloittes revision af generelle IT-kontroller 2016 (2017-0008343)

Økonomiudvalgets beslutning i mødet den 25. januar 2017

Indstillingen blev taget til efterretning uden afstemning.

Til top