Revisionsrapport Generelle it-kontroller 2021

Indstilling

Økonomiforvaltningen indstiller over for Økonomiudvalget,

1. at ”Revisionsrapport - Revision af generelle it-kontroller 2021”, jf. bilag 1, tages til efterretning,
2. at Økonomiforvaltningens handleplaner, jf. bilag 2, godkendes,
3. at Børne- og Ungdomsforvaltningens handleplan, jf. bilag 2, tages til efterretning.

Problemstilling

Som led i den løbende revision af Københavns Kommunes regnskab for 2021 har kommunens eksterne revisor (Deloitte) foretaget en revision af de generelle it-kontroller, som er en del af den lovpligtige revision.

Overordnet vurderer revisionen, at de af de generelle it-kontroller, som man har vurderet relevante for at understøtte revisionen af årsrapporten for Københavns Kommune, i al væsentlighed har været hensigtsmæssigt udformet og opretholdt i revisionsperioden.

Der gives med rapporten ikke nye røde revisionsbemærkninger, en rød bemærkning videreføres fra 2020, mens der lukkes to røde bemærkninger. Derudover indeholder rapporten tre gule (prioritet 2) bemærkninger.

Der er videreført en rød bemærkning fra 2020 vedrørende roller i økonomisystemet Kvantum. Der gives en ny gul bemærkning vedrørende outsourcing-leverandørstyring, mens to gule bemærkninger er videreført fra 2020, hvor risikoen er reduceret fra rød til gul, disse vedrører passwordstyring i Børne- og Ungdomsforvaltningen og revisorerklæringer på kommunens debitor- og lønsystem.

En observeret risiko markeres med rød, hvis revisionen vurderer, at der er høj risiko for, at forholdet indtræffer og/eller forholdet har en betydelig effekt og/eller forholdet har en betydelig udbredelse. Røde observationer i den løbende revision kan føre til en revisionsbemærkning i revisionsberetningen. En observation tildeles en gul markering, hvis revisionen vurderer, at forholdet indebærer en middel risiko, men at risikoen ikke har en karakter, der kan føre til en revisionsbemærkning.

Løsning

Revisionsbemærkninger og handleplaner hertil fremgår af bilag 2. 

RØD - Styring af roller og rettigheder Kvantum (Økonomiforvaltningen)

Revisionen henstiller, at der periodisk foretages en dokumenteret revurdering af tildelte rettigheder til brugere i økonomisystemet Kvantum. Denne bemærkning vedrører for 2021 alene økonomisystemet Kvantum, mens den i 2020 også omfattede kommunens lønsystem, debitorsystem og udbetalingssystem på det sociale område (KMD Aktiv). Implementeringen af nye roller i Kvantum, har været udskudt grundet opgradering af Kvantum ultimo 2021.

Der implementeres et centralt ledelsestilsyn i august 2022 i umiddelbar forlængelse af implementering af nye, smallere roller til Kvantum. De nye, smallere roller er designet og afventer alene organisatorisk implementering. I forbindelse med nedlæggelse af de eksisterende roller og tildeling af de nye, smallere roller til alle Kvantum brugere med deadline juli 2022 udføres samtidigt ledelsestilsyn i forvaltningerne og centralt ledelsestilsyn fra Økonomiforvaltningen.

GUL - Outsourcing-leverandørstyring, hvor revisionen henstiller, at man ved indgåelse af kontrakter med eksterne leverandører følger kommunes governance-model på området, og der udarbejdes fælles administrative forretningsgange (Økonomiforvaltningen). Arbejdet med fælles retningslinjer for krav til leverandørerne forventes afsluttet med udgangen af tredje kvartal 2022.

GUL - Revisionserklæringer, hvor revisionen henstiller, at der indhentes en specifik revisionserklæring for KMD Opus Debitor og KMD Opus Løn for at opnå en højere grad af sikkerhed (Økonomiforvaltningen). Fra første kvartal 2022 udarbejdes specifikke revisorerklæringer på systemerne.

GUL - Børne- og Ungdomsforvaltningen it-drift, hvor revisionen henstiller, at der arbejdes videre med implementeringen af periodisk passwordskift (Børne- og Ungdomsforvaltningen). Der forventes at være en løsning i drift i løbet af første halvår 2022.

De to sidstnævnte gule bemærkninger var i røde i sidste års rapport. Fremdrift i handleplanerne har betydet at de er reduceret til gule bemærkninger.

Der er herudover siden 2020 lukket to gule bemærkninger; en bemærkning vedrørende standardprofiler med udvidede rettigheder i Kvantum (lukket pr. april 2021) samt en bemærkning vedrørende governance for kommunens Sharepoint-løsning.

Revisionen har i rapporten desuden fokus på den fremadrettede it-sikkerhed og ledelse på området. Revisionen har tidligere haft fokus rettet mod de generelle it-kontroller, som man har vurderet relevante for at understøtte revisionen af årsrapporten for Københavns Kommune. Revisionen bemærker, at truslerne på informationssikkerhedsområdet er konstant stigende og antallet af virksomheder og myndigheder, der har været udsat for alvorlige hændelser som følge af cyberangreb eller andre alvorlige it-sikkerhedsmæssige hændelser er tilsvarende stigende. Revisionen vil fremover også løbende vurdere tilstrækkeligheden af de etablerede sikringsforanstaltninger, herunder sikre, at der er et ledelsessystem med tilstrækkelige kompetencer, ressourcer og uafhængighed på informationssikkerhedsområdet. Økonomiforvaltningen vil løbende koordinere sagen med kommunens interne og eksterne revision.

Økonomi

Sagen har ingen økonomiske konsekvenser.

Videre proces

I forlængelse af revidering af årsregnskabet udarbejder revisionen en revisionsberetning.

Revisionsberetningen for regnskab 2021 afleveres til kommunen senest den 1. juni 2022 og bliver forelagt Økonomiudvalget til orientering under dagsordenspunktet "Meddelelser fra overborgmesteren" på mødet den 14. juni 2022. Økonomiudvalget vil få forelagt handleplaner for håndtering af revisionsberetningen for regnskab 2021 i august 2022.