Revisionsrapport generelle it-kontroller 2022
Med denne indstilling forelægges Økonomiudvalget revisionsrapport om generelle it-kontroller i 2022. Der gives med rapporten en ny rød (prioritet 1) bemærkning vedrørende manglende efterlevelse af kommunens regler for ibrugtagning af IT-systemer. Derudover indeholder rapporten fire gule (prioritet 2) bemærkninger. Der er udarbejdet handleplaner til alle forhold. Der lukkes med rapporten en rød og en gul bemærkning fra 2021.
Indstilling
Økonomiforvaltningen indstiller over for Økonomiudvalget,
- at ”Revisionsrapport – Revision af generelle it-kontroller 2022”, jf. bilag 1, tages til efterretning,
- at Økonomiforvaltningens handleplaner, jf. bilag 2, godkendes,
- at Børne- og Ungdomsforvaltningens handleplan, jf. bilag 2, tages til efterretning.
Problemstilling
Som led i den løbende revision af Københavns Kommunes regnskab for 2022 har kommunens revisor foretaget en revision af de generelle it-kontroller, som er en del af den lovpligtige revision.
Det er revisionens vurdering, at de af de generelle IT-kontroller, som revisionen har vurderet relevante for at understøtte revisionen af årsrapporten for Københavns Kommune, i al væsentlighed har været hensigtsmæssigt udformet og opretholdt i revisionsperioden.
Der gives med rapporten en ny rød bemærkning vedrørende ibrugtagning af IT-systemer, samt fire gule bemærkninger, heraf to nye.
I november 2018 blev det besluttet at, IT-systemer i Københavns Kommune skal sikkerhedsvurderes af Koncern IT (KIT), inden de ibrugtages. Sikkerhedsvurderingen tager stilling til, at alle krav til informationssikkerhed og databeskyttelse er opfyldt. På baggrund af sikkerhedsvurderingen kan KIT udstede en ibrugtagningstilladelse, hvis KIT vurderer, at risikoniveauet er acceptabelt. Det er den anskaffende forvaltning, der er ansvarlig for, at der bliver udarbejdet en sikkerhedsvurdering og gives en ibrugtagningstilladelse forud for idriftsættelse af it-systemer.
Hvis en forvaltning ibrugtager en it-løsning, der ikke kan opnå en ibrugtagningstilladelse af KIT, skal KIT jf. kommunens anskaffelsescirkulære eskalere sagen til Digitaliseringschefkredsen og IT-kredsen, hvor der skal opnås enighed, hvis sagen ikke skal eskaleres yderligere til de relevante administrerende direktører, borgmestre og ØU. En ibrugtagningstilladelse kan være betinget af en række forhold, der skal udbedres inden for en periode, som aftales mellem den anskaffende enhed og KIT. Den anskaffende enhed har ansvaret for at udbedre disse forhold.
Der lukkes med rapporten en rød bemærkning og en gul bemærkning.
Løsning
Revisionsbemærkninger og handleplaner hertil fremgår af bilag 2.
RØD – Ibrugtagning af IT-systemer (Økonomiforvaltningen), hvor den nye borgerserviceplatform, der anvendes til udstedelse af pas og kørekort blev ibrugtaget i juli 2022, selvom der ikke forelå en ibrugtagningstilladelse. I den sammenhæng eskalerede KIT ikke sagen til de administrative kredse mv. og fulgte dermed ikke bestemmelserne i kommunens regelsæt.
Revisionen henstiller, at forvaltningerne følger forretningsgangen for it-anskaffelser, og at KIT følger eskalationsprincippet, hvis en tilsvarende sag opstår. Endeligt henstilles det, at KIT undersøger, om der er flere it-systemer, der er idriftsat, uden der foreligger en ibrugtagningstilladelse.
Kultur- og Fritidsforvaltningen har efterfølgende udarbejdet en handleplan, der imødegår problemstillingerne, og KIT har udstedt en betinget ibrugtagningstilladelse. Der er i regi af kredsen af de IT-ansvarlige direktører i Københavns Kommune i november 2022 igangsat et arbejde, hvor forvaltningerne understøttes i at få sikkerhedsvurderet systemer idriftsat uden ibrugtagningstilladelse efter november 2018.
Reglerne for IT-anskaffelser i Københavns Kommune gælder for alle IT-systemer, og der skelnes i dag ikke mellem forskellige typer af it-systemer ift. omfanget af krav til anskaffelsen. Den indledende afdækning har vist, at ultimo 2022 manglede 72 idriftsatte systemer anskaffet efter forretningscirkulæret for IT-anskaffelsers ikrafttræden en ibrugtagningstilladelse. Der er pt. ikke kendskab til forhold, der vurderes at kunne kompromittere Københavns Kommunes overordnede it-sikkerhed.
De 72 systemer omfatter bl.a. fællesoffentlige systemer og grunddataregistre, hvor sikkerheden er håndteret af den systemejende myndighed samt mindre hjælpeværktøjer og softwarekomponenter. I mange tilfælde er der tale om, at forvaltningerne ikke har været opmærksom på, at kommunens regler også gælder for fx fællesoffentlige it-systemer og grunddataregistre, der jf. cirkulæret for it-anskaffelser er omfattet, men hvor det er lagt til grund, at den systemejende myndighed har håndteret sikkerheden i systemet.
KIT og forvaltningerne vil sammen sikre, at de 72 systemer håndteres inden udgangen af andet kvartal 2023. KIT har i nogle tilfælde været vidende om manglende ibrugtagningstilladelse på konkrete it-systemer og har i de tilfælde søgt at løse sagen i dialog med forvaltningen. Jf. eskalationsprincippet er sagerne som udgangspunkt forsøgt håndteret bilateralt uden at inddrage de tværgående kredse. På baggrund af sagen vil KIT indføre en strammere praksis for brugen af eskalationsprincippet.
GUL – Organisering af informationssikkerhed og styrkelse af det ISMS (Økonomiforvaltningen), hvor revisionen henstiller, at arbejdet med at styrke informationssikkerheden prioriteres højt. Økonomiforvaltningen har igangsat en GAP-analyse, der har fokus på fire udvalgte indsatser, der skal resultere i en række indsatspunkter, som Københavns Kommune bør implementere for at have et effektivt og veldokumenteret ISMS (Information Security Management System). Analysen forventes færdig i første kvartal 2023, og implementeringen af indsatserne igangsættes i andet halvår 2023.
GUL – Risikovurderinger (Økonomiforvaltningen), hvor revisionen henstiller, at de nuværende risikovurderinger af systemer styrkes, samt at der sker en dokumenteret opfølgning på, at etablerede sikringstiltag og kontroller fungerer hensigtsmæssigt. Økonomiforvaltningen udarbejder et nyt koncept for risikovurderinger, der samler IT-systemvurderingerne med GDPR-vurderingerne mest hensigtsmæssigt, hvilket forventes afsluttet ultimo februar 2023.
GUL – Outsourcing – leverandørstyring (Økonomiforvaltningen), hvor revisionen henstiller, at leverandørkontrakter undergår Københavns Kommunes Governance-model ved genforhandling. Endvidere henstiller revisionen, at der etableres fælles administrative forretningsgange for opfølgning. Økonomiforvaltningen vil udvide den nuværende forretningsgang for it-anskaffelser med en forretningsgang for opfølgning på leverandørkontrakter, alternativt udarbejde en ny forretningsgang herfor. Desuden vil Økonomiforvaltningen implementere værktøjer og metoder til at konkretisere og operationalisere systemejerrollen, herunder i forhold til leverandørstyring. Arbejdet forventes afsluttet ultimo 2023.
GUL – BUF IT-drift (Børne- og Ungdomsforvaltningen), hvor revisionen henstiller, at der arbejdes videre med implementeringen af periodisk passwordskift, således at løsningen bliver underlagt det ønskede IT-sikkerhedsniveau, som er fastlagt af Københavns Kommune. Børne- og Ungdomsforvaltningen er ved at implementere en løsning, der sikrer, at alle medarbejdere bliver påtvunget at skifte password årligt. Implementeringen forventes afsluttet i marts 2023.
Økonomi
Sagen har ingen økonomiske konsekvenser.
Videre proces
I forlængelse af revideringen af årsregnskabet udarbejder revisionen en revisionsberetning.
Revisionsberetningen for regnskab 2022 afleveres til kommunen senest den 1. juni 2022 og bliver forelagt Økonomiudvalget til orientering under dagsordenspunktet ”Meddelelser fra overborgmesteren” på mødet den 13. juni 2023. Økonomiudvalget vil få forelagt handleplaner for håndtering af revisionsberetningen for regnskab 2022 i august 2023.
Søren Hartmann Hede / Mads Grønvall
Beslutning
Dagsordenspunkt 6: Revisionsrapport generelle it-kontroller 2022 (2022-0385947)
Økonomiudvalgets beslutning i mødet den 25. januar 2023
Chef for Intern Revision, Jesper Andersen, samt revisor i Deloitte Jakob Ditlevsen, deltog under sagens behandling af hensyn til sagens oplysning.
Indstillingens 1. at-punkt blev taget til efterretning uden afstemning.
Indstillingens 2. at-punkt blev godkendt uden afstemning.
Indstillingens 3. at-punkt blev taget til efterretning uden afstemning.