Godkendelse af handleplaner på baggrund af revisionsrapport 2023
Resumé
Sundheds- og Omsorgsudvalget skal godkende Sundheds- og Omsorgsforvaltningens handleplaner i forhold til Revisionsrapport - regnskabsføring, forretningsgange og interne kontroller 2023 samt revisionsrapport Revision af generelle it-kontroller 2023.
Indstilling
Sundheds- og Omsorgsforvaltningen indstiller til Sundheds- og Omsorgsudvalget,
- at Sundheds- og Omsorgsudvalget godkender de anførte handleplaner og at disse fremsendes til Økonomiforvaltningen.
Problemstilling
Kommunens revisionsselskab (EY) har i samarbejde med Intern Revision udarbejdet Revisionsrapport - regnskabsføring, forretningsgange og interne kontroller 2023 samt revisionsrapport ’Revision af Generelle it-kontroller 2023’.
Revisionsrapporterne indeholder enkelte bemærkninger, der retter sig mod fagforvaltningerne, og som Økonomiforvaltningen derfor har anmodet alle forvaltninger om at udarbejde handleplaner til.
Der er i beretningerne ikke anført bemærkninger, som vedrører specifikke forhold i Sundheds- og Omsorgsforvaltningen.
Løsning
Revisor anfører følgende bemærkninger og observationer i Revisionsrapporten - regnskabsføring, forretningsgange og interne kontroller 2023:
- Brugeradministration Kvantum (SAP Basis) (rød), ØKF
- Brugeradministration (privilegerede brugere) (rød), ØKF
- Administration af autorisationer til Kvantum (rød), ØKF
- Regler for indkøb af varer og tjenesteydelser (gul), ØKF
- Bilagskontrol (rød), forvaltningerne
Revisor anfører følgende bemærkninger og observationer i revisionsrapport revision af Generelle it-kontroller 2023:
- Ledelsestilsyn med brugerautorisationer (rød), Forvaltningerne
- Ibrugtagning af it-systemer (rød), ØKF
- Organisering af informationssikkerhed og styrkelse af det ISMS (gul), ØKF
- Risikovurderinger (gul), ØKF
Sundheds- og Omsorgsforvaltningen er anmodet om at udarbejde handleplaner i forhold til bemærkning om bilagskontrol og ledelsestilsyn med bruger autorisationer.
Bemærkning – Bilagskontrol
Revisor bemærker (Side 11)
Vi henstiller, at der i de andre forvaltninger fortsat er ledelsesmæssigt fokus på effekten af de igangsatte handleplaner fra 2022, der skal medvirke til at sikre fyldestgørende og tilstrækkelig dokumentation for de regnskabsmæssige registreringer.
Forslag til handleplan vedr. bilagskontrol:
I SUF er der 4 udlæg, hvor der ikke har været angivet formål eller deltagere. Forvaltningens handleplan:
- Den fælles vejledning for bilagshåndtering i Københavns Kommune samt link til e-læring udsendes til alle forvaltningens 400 ledere, samt nøglemedarbejdere dvs., økonomikonsulenter, økonomimedarbejdere mv. Det vil blive indskærpet, at formål og deltagere ved udlæg skal angives.
- Der foretages stikprøvekontrol rettet mod de konstaterede forhold i perioden marts – maj 2024.
Bemærkning – Ledelsestilsyn med brugerautorisationer
Revisor bemærker (Side 9)
Det henstilles, at de ledelsestilsyn som skal sikre, at de ansatte ikke har adgang til personoplysninger, hvor der ikke er et arbejdsbetinget behov, udføres i overensstemmelse med kommunens regler.
Det gælder både de systemer, der er integreret i IGA-løsningen, og med stor sandsynlighed også de systemer, der ligger uden for IGA-løsningen.
Det anbefales, at ledelsestilsynene for systemer integreret i kommunens IGA-løsning opstartes automatisk.
Det henstilles desuden, at alle kommunens systemer indeholdende værdi og personoplysninger, hvis det er teknisk muligt, integreres i kommunens IGA-løsning.
Forslag til handleplan vedr. ledelsestilsyn med brugerautorisationer:
I SUF vil vi udarbejde to forvaltningsspecifikke arbejdsgange for gennemførsel af ledelsestilsyn med autorisationer. Arbejdsgangene vil omhandle dels ledelsestilsyn igennem IGA (Identity, governance and administration = brugeradministrationssystem), dels tilsyn på systemer, der endnu ikke er på IGA.
Ledelsestilsyn prioriteres ud fra en risikobaseret tilgang (systemets kritikalitet, antal brugere og mængden af personoplysninger). Ledelsestilsyn på systemer, der ikke er IGA-styret, vil blive gennemført hver 6. måned på systemer med personoplysninger.
De af forvaltningens systemer, der kan integreres i kommunens IGA-løsning, er blevet integreret. Ved nyanskaffelser stilles der krav om, at systemer skal kunne integreres i IGA. For systemer i IGA-løsningen gennemføres der ledelsestilsyn årligt.
Af revisionens oversigt fremgår det, at systemet TeleKOL ikke har overholdt fristen for ledelsestilsyn. Systemet er ibrugtaget i marts 2023, og da det er IGA-styret skal ledelsestilsyn gennemføres årligt, dvs. senest marts 2024. Dette fremgår også af systemets årshjul.
Økonomi
Indstillingen har ingen økonomiske konsekvenser.
Videre proces
På baggrund af Sundheds- og Omsorgsudvalgets godkendelse af nærværende sag, vil Sundheds- og Omsorgsforvaltningen videreføre sagen til Økonomiforvaltningen. Økonomiudvalget forelægges dernæst handleplanerne fra alle forvaltninger på møde den 5. marts 2024.
Anna Schou Johansen
/Camilla Vang Taankvist