Revisionsrapport - Revision af generelle IT-kontroller 2024

Indstilling

Økonomiforvaltningen indstiller over for Økonomiudvalget,

1. at ’Revisionsrapport – Revision af generelle IT-kontroller 2024’, jf. bilag 1, tages til efterretning,
2. at Økonomiforvaltningens handleplaner, jf. bilag 2, godkendes,
3. at de øvrige forvaltningers handleplaner, jf. bilag 2, tages til efterretning.

Problemstilling

Som led i den løbende revision af Københavns Kommunes regnskab 2024 har kommunens revisor foretaget en revision af de generelle IT-kontroller, som er en del af den lovpligtige revision.

Der gives med rapporten seks røde bemærkninger og to gule bemærkninger. To af de røde bemærkninger har ændret karakter fra at være gule i den løbende revision 2023 til at være røde i 2024. Der lukkes ingen bemærkninger med rapporten.

Revisionens bemærkninger samt forvaltningens handleplaner fremgår af løsningsafsnittet.

Løsning

Revisionsbemærkningerne og handleplanerne hertil fremgår af bilag 2.

RØD –3.1.1 Organisering af informationssikkerhed og styrkelse af ISMS (Økonomiforvaltningen)

KL indgik i 2016 sammen med en række andre offentlige myndigheder en aftale, der forpligtede kommunerne til at følge principperne i informationssikkerhedsstandarden ISO-27001, som er en international standard for informationssikkerhed, der giver en systematisk og risikobaseret tilgang til informationssikkerhed. Revisionen henstiller blandt andet, at indsatsen omkring organisering af informationssikkerheden og etableringen af et ISMS (Information Security Management System) i fire indsatsspor, som er besluttet i kredsen af IT-direktører.

Økonomiforvaltningen iværksætter tiltag inden for de fire indsatsspor, ligesom der tilføjes et yderligere spor vedrørende uddannelse og kompetence. Handleplanen forventes gennemført ultimo 2026.

RØD – 3.1.2 Risikovurderinger af it-systemer (Økonomiforvaltningen)

Revisionen vurderer overordnet, at Københavns Kommunes nye risikovurderingsmodel ikke metodisk følger alle områder i ISO 27005-standarden på området, og at der ikke arbejdes systematisk med IT-risikostyring i Københavns Kommune. Det henstilles i revisionsbemærkningen, blandt andet at de nuværende risikovurderinger af systemer styrkes, og at der sker en dokumenteret opfølgning på, at etablerede sikringstiltag og kontroller fungerer hensigtsmæssigt.

Der pågår i Økonomiforvaltningen et løbende udviklingsarbejde af risikovurderingskonceptet for it-systemer. I arbejdet er der fokus på, at konceptet er svarende til det aktuelle behov og modenhed. Derudover udarbejdes der en fællesadministrativ forretningsgang, som skal være med til at sikre klarhed over roller og ansvar, og at der skal være en ensartethed i anvendelsen og dertilhørende vurderinger. Indsatserne forventes afsluttet ultimo 2025.

RØD – 3.1.3 Åbning af det produktive miljø (Kvantum) (Økonomiforvaltningen)

Revisionen har observeret, at når der foretages programændringer i et af de produktive miljøer i Kvantum med en klienttype, vil det også påvirke et andet produktivt miljø i Kvantum for en anden klienttype. Revisionen henstiller, at den nuværende åbning lukkes, og at klienten kun åbnes efter et arbejdsbetinget behov.

Økonomiforvaltningen har allerede lukket den ene klienttype, og der vil kun blive åbnet for programændringer ved et arbejdsbetinget behov. Derudover vil der blive implementeret en systembaseret kontrol. Handleplanen forventes afsluttet i februar 2025.

RØD – 3.1.4 Log af åbninger (Kvantum) (Økonomiforvaltningen)

Det er observeret, at der er foretaget to direkte tilpasninger i det produktive miljø i Kvantum, som ikke er blevet logget. Revisionen henstiller, at der anvendes ”recording-funktion”, når den ”produktive klient” åbnes, således eventuelle ændringer bliver logget.

For at imødekomme revisionens henstilling laver Økonomiforvaltningen blandt andet en arbejdsgangbeskrivelse til KMD, hvori det foreskrives, at recording funktionen skal slås til, idet denne ikke automatisk bliver slået til, når systemet åbnes. Handleplanen forventes afsluttet i første halvår 2025.

RØD – 3.2.1 Ledelsestilsyn med bruger autorisationer (Forvaltningerne)

I den løbende revision 2023 konstaterede revisionen, at ledelsestilsynet for Københavns Kommunes it-systemer ikke skete konsekvent. Derudover blev det konstateret, at flere systemer med fordel kunne indgå i kommunens IGA-løsning, hvor ledelsestilsynet igangsættes automatisk. Bemærkningen er videreført fra 2023. Forvaltningernes handleplaner blev udarbejdet for den tilsvarende bemærkning i revisionsberetningen for 2023, som blev forelagt for Økonomiudvalget i august 2024.

Status på handleplanerne pr. januar 2025 er, at nogle forvaltninger har gennemført deres tiltag i handleplanerne, mens andre fortsat har udeståender vedrørende gennemførelse af ledelsestilsyn af IT-systemerne samt at få IT-systemerne på IGA-løsningen. Overordnet set forventes handleplanerne at blive afsluttet i løbet af 2025.

RØD – 2.2.2 Sikkerhedsvurdering af systemer (Forvaltningerne)

Det er tidligere blevet konstateret, at der har været en række IT-systemer, som blev anskaffet før 2018, der ikke havde en ibrugtagningstilladelse, og de havde statussen ”ikke-godkendt”. Dette betød, at systemerne ikke skulle have været i drift, idet de ikke levede op til kommunens krav. Bemærkningen er videreført fra 2023. Forvaltningerne udarbejdede handleplaner hertil i forbindelse med revisionsberetningen for 2023, som blev forelagt for Økonomiudvalget i august 2024.

Status på handleplanerne pr. januar 2025 er, at flere men ikke alle forvaltninger har afsluttet deres handleplaner, hvorved de har gennemgået alle de forvaltningsspecifikke systemer og indmeldt systemer uden en ibrugtagningstilladelse, mv. til Koncern IT. Koncern IT risikovurderer løbende de systemer, som forvaltningerne klarmelder med henblik på en sikkerhedsvurdering. Der mangler overordnet set at blive foretaget en sikkerhedsvurdering af flere systemer på tværs af forvaltningerne. Arbejdet forventes at blive gennemført i første halvår i 2025.

GUL – 3.1.5 Password opsætning (Kvantum) (Økonomiforvaltningen)

Revisionen har konstateret, at de nuværende passwordkrav til Kvantum ikke er komplekse nok, hvorved det er nemmere for uautoriserede bruger at gætte eller bruge adgangskoderne. Det henstilles, at passwordopsætningen til Kvantum følger Københavns Kommunes passwordpolitik, pr. 21. november 2024, som stiller krav om en passwordlængde på minimum 15 karakter, samt krav om specialtegn, tal samt store og små bogstaver.

Økonomiforvaltningen har planlagt en ændring af passwordpolitikkerne for Kvantum, således de følger de overordnede politikker. Implementeringen heraf sker i februar 2025.

GUL – 3.1.6 Gennemgang af rettigheder (Kvantum) (Økonomiforvaltningen)

Revisionen har konstateret, at rettighederne ”Lederhat” og ”Prokuraværdi” tildeles manuelt i Kvantum og ikke via den automatiske tildelingsproces, som håndteres af Omada. Dermed følger tildelingsprocessen i Kvantum ikke den samme automatiske proces, som tildelingen af andre roller. Det henstilles, at der laves en afstemning af oplysningerne i Omada og Kvantum, da der kan være en forhøjet risiko for fejl i integrationen med manuelle tildelinger direkte i Kvantum.

For at imødekomme revisionens henstilling vil Økonomiforvaltningen lave en arbejdsgangsbeskrivelse for den manuelle afstemning mellem Omada og Kvantum, hvorefter der vil ske en afstemning i forbindelse med ledelsestilsynet. Derudover vil der på længere sigt laves en præventiv aktion, hvori der blandt andet ses på den tekniske mulighed for at automatisere tildelingen af ”lederhat” og prokuraværdi”. Det samlede arbejde forventes afsluttet i 2026.

Økonomi

Sagen har ingen økonomiske konsekvenser.

Videre proces

I forlængelse af revideringen af årsregnskabet udarbejder revisionen en revisionsberetning.

Revisionsberetningen for regnskab 2024 sendes til kommunen senest den 1. juni 2025 og bliver forelagt for Økonomiudvalget til orientering under dagsordenspunktet ’Meddelelser fra overborgermesteren’ i juni 2025. Økonomiudvalget vil få forelagt handleplaner til håndtering af revisionsberetningen for regnskab 2024 i august 2025.

Søren Hartmann Hede        / Nicolai Kragh Petersen