Henvendelse fra Statsforvaltningen Hovedstaden vedrørende regnskab 2009

Sundheds- og Omsorgsudvalget skal bidrage til samlet besvarelse fra Københavns Kommune til Statsforvaltningen Hovedstaden vedrørende regnskab 2009.
 

Sundheds- og Omsorgsforvaltningen indstiller,

1. at Sundheds- og Omsorgsudvalget fremsender denne indstilling til Økonomiforvaltningen som udvalgets bidrag til kommunens samlede besvarelse af Statsforvaltningen Hovedstadens henvendelse.

Statsforvaltningen Hovedstaden har ved brev af 14. marts 2011 om Københavns Kommunes regnskab for 2009 anmodet om Borgerrepræsentationens bemærkninger til visse af de revisionsbemærkninger kommunens revision afgav i forbindelse med udar­bejdelse af direktionsnotater til de enkelte udvalg, jf. bilag 1. På mødet i Økonomiudval­get den 5. april 2011 (ØU 2011-41226) blev det besluttet at indhente yderligere bidrag fra Øko­nomiudvalget, Børne- og Ungdomsudvalget, Kultur- og Fritidsudvalget samt Sundheds- og Omsorgsudvalget til brug for en samlet besvarelse fra kommunen til Statsforvaltnin­gen Hovedstaden, jf. bilag 2.
 

For Sundheds- og Omsorgsudvalgets vedkommende drejer Statsforvaltningens henven­delse sig om følgende revisionsbemærkning vedrørende manglende periodisk review af adgange til systemer og data:

”Den periodiske revurdering af tildelte rettigheder til IT-brugere foretages ikke, eller dokumenteres ikke. Der er hermed risiko for, at brugernes rettigheder bliver utids­svarende og ikke afspejler deres arbejdsmæssige be­tingede behov. Vi skal indskærpe, at der foretages pe­riodisk review af adgangsrettighederne”.  

I forhold hertil anførte Sundheds- og Omsorgsforvaltningen, at ansvaret for at foretage disse reviews med virkning fra 1. januar 2010 er overført til Koncernservice, hvorfor forvaltningen ville gøre Koncernservice opmærksom på revisionsbemærkningen. Dette skete i forbindelse med, at forvaltningens IT-sikkerhedsleder med tilhørende ansvarsom­råder og arbejdsopgaver overførtes til Koncernservice primo 2010.  

Statsforvaltningen kan imidlertid ikke af Borgerrepræsentationens godkendelse af kommunens samlede regnskab for 2009 (BR 2010-165481) den 16. december 2010 identificere, hvilke initiativer Koncernservice har foretaget i anledning af revisionens bemærkning.

Koncernservice har den 6. april 2011 oplyst følgende til Sundheds- og Omsorgsforvaltningen vedrørende de iværksatte tiltag i anledning af revisionens bemærkning:

"Koncernservice gennemfører hvert år en række kontroller af medarbejdernes adgang til systemerne. Disse gennemføres som stikprøver. Hvad angår kontrollen af adgange til personoplysninger i systemerne skal disse fortages to gange årligt. Dette sker ved hjælp af et særligt program, der kan opliste en del af medarbejdernes rettigheder og sende informationen til den relevante leder. Lederen skal herefter kontrollere og bestille evt. ændringer i rettighederne. IT-sikkerhedsfunktionen iværksætter næste kontrol i dette kvartal (2. kvartal 2011). Koncernservice har endvidere bedt Deloitte om en præcisering af, hvad de mener med periodisk revurdering. Denne præcisering er endnu ikke modtaget." 

Sundheds- og Omsorgsforvaltningen tager Koncernservises handleplan til efterretning og går ud fra, at de iværksatte aktiviteter er tilstrækkelige i forhold til IT-sikkerhedsregulativet og revisionens forventninger til regelmæssig review af de ansattes adgange til systemer og data.  
 

Sagen har ingen økonomiske konsekvenser.
 

Såfremt Sundheds- og Omsorgsudvalgets godkender indstillingen, vil den blive fremsendt til Økonomiforvaltningen med henblik på, at den kan indgå i kommunens samlede besvarelse til Statsforvaltningen Hovedstaden. Københavns Kommunes samlede besvarelse vil blive behandlet på Økonomiudvalgets møde den 31. maj 2011 og i Borgerrepræ­sentationen den 15. juni 2011.

 

Hanne Baastrup

                                                                  /Lars Matthiesen

Indstillingen blev godkendt.