Greve Kommune. Revision af generelle it-kontroller 2011

Transkript

1 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Telefon Telefax Greve Kommune Revision af generelle it-kontroller 011 Medlem af Deloitte Touche Tohmatsu Limited

2 Deloitte Indholdsfortegnelse Side Indledning 1 Formål 1 Sammenfatning 1 Afsluttende bemærkninger Revisionens indhold og omfang 3 Kontrolmålsoversigt og detailvurderinger 4 Klassifikation af anbefalinger 4 Detaljerede observationer og anbefalinger 6

3 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Telefon Telefax Greve Kommune Att.: It-chef Michael Kalmberg Rådhusholmen Greve Revision af generelle it-kontroller Indledning Deloitte har som et led i revisionen af årsrapporten for 011 revideret de generelle it-kontroller hos Greve Kommune. Nærværende rapport indeholder vores observationer, anbefalinger og prioriteringer. Rapporten er kun til kommunens egen interne brug. Formål Generelle it-kontroller er de kontroller, som ledelsen har etableret i og omkring kommunens væsentli- ge it-platforme med henblik på at opnå en velkontrolleret og sikker it-anvendelse og dermed understøtte en pålidelig databehandling i it-baserede forretningsprocesser. Som led i revisionen af Greve Kommune, har Deloitte revideret den del af de generelle it-kontroller, som vi vurderer relevante for aflæggelse af en årsrapport, der giver et retvisende billede uden væsenti overensstemmelse med de lovgivningsmæssige lig fejlinformation, og som er krav. Formålet har været at vurdere, om ovennævnte generelle it-kontroller dels er udformet på en hen- sigtsmæssig måde og dels opretholdes og dokumenteres som tilsigtet for regnskabsåret. Sammenfatning På baggrund af vores revision af de generelle it-kontroller, som vi har vurderet relevante for at understøtte revisionen af årsrapporten for Greve kommune, har vi ikke identificeret væsentlige svagheder.

4

5 Deloitte 3 Revisionens indhold og omfang Revisionen er fokuseret på den del af de generelle it-kontroller, som er væsentlige i forhold til de brugersystemer og tilhørende tekniske platforme, som vi vurderer som relevante for at understøtte revisionen af årsrapporten for Greve Kommune. Udvælgelsen af de generelle it-kontroller er således baseret på en vurdering af omfang, kompleksitet og afhængighed af it-baserede forretningsprocesser samt risikoen for væsentlig fejlinformation ved aflæggelse af årsrapporten. Vi har således udvalgt de generelle it-kontroller, som understøtter brugersystemerne: Prisme Opus (løn) samt sikkerheden på de tekniske platforme, som brugersystemerne er placeret på: Windows Den samlede revision baseres for en dels vedkommende på relevante interne kontroller i virksomheden, herunder både manuelle kontroller og kontroller, der automatisk udføres af de brugersystemer, virksomheden anvender. Revisionen af de generelle it-kontroller har ikke omfattet en vurdering af kontrol- og sikkerhedsniveauet i de enkelte brugersystemer, herunder automatiske kontroller i de administrative processer og logiske adgangsrettigheder til udførelse af forretningsaktiviteter i brugersystemerne. For hvert af de udvalgte brugersystemer og tilhørende tekniske platforme udvælges og gennemgås de relevante generelle it-kontroller indenfor følgende kontrolområder: Hovedområde A. It-drift B. It-sikkerhed Delområde A1. Jobschedulering A3. Fysisk adgang og sikring B. It-sikkerhedsadministration B3. Logisk sikkerhed C. Programændringer D1. Change Governance For områder, hvor væsentlige kontroller er outsourcet til eksterne leverandører, baserer vi vores revision heraf på modtaget revisionserklæring, der udarbejdes af leverandørens revisor efter anmodning fra kommunens ledelse. Revisionen er udført ved interview af personale hos Greve Kommune samt ved observation, gennemgang af udleveret materiale samt stikprøvevis gennemgang af tekniske sikkerhedsopsætninger på de udvalgte platforme.

6 Deloitte 4 Kontrolmålsoversigt og detailvurderinger I skemaet på side 5 er i oversigtsform angivet vores vurderinger af faktiske forhold imod kontrolmål for de kontrolområder, som vi har revideret i indeværende år. Skemaet indeholder tillige vores vurderinger for de kontrolområder, som er revideret i tidligere år, såfremt der er blevet fulgt op på disse. I skemaet er resultatet for hvert kontrolmål angivet ved anvendelse af følgende symboler: Symbol Betydning De interne kontroller vurderes ikke at fungere effektivt og kræver omgående fokus fra ledelsen. Der er behov for flere væsentlige forbedringer. Kontrolniveauet vurderes ikke at fungere tilstrækkeligt effektivt og kræver ledelsens fokus. Der er behov for forbedringer, hvoraf enkelte kan være væsentlige. Kontrolniveauet vurderes som relativt højt, og der er alene behov for forbedringer af mindre væsentlig karakter. Revisionen af kontrolmålet har ikke givet anledning til bemærkninger. Skemaet fungerer som en indholdsfortegnelse til de detaljerede observationer og anbefalinger, og det er ud for kontrolmålet angivet, på hvilken side i den detaljerede rapport de pågældende forhold er nærmere beskrevet. Såfremt revisionen af et kontrolmål ikke har givet anledning til bemærkninger, er en detaljeret beskrivelse af kontrolmålet således ikke medtaget. Klassifikation af anbefalinger For de detaljerede observationer og tilhørende anbefalinger er angivet en prioritet baseret på følgende opdeling: Prioritet 1 3 Betydning Anbefalinger til udbedring af væsentlige svagheder i den interne kontrol Anvendes for svagheder i de interne kontroller, der medfører en forøget risiko for, at der opstår eller ikke opdages væsentlig fejlinformation i regnskabsaflæggelsesprocessen - eksempelvis utilstrækkelig adgangsbegrænsning i it-systemer, mulighed for at omgå etablerede kontrolprocedurer samt manglende overordnet stillingstagen til omfang af it-sikkerhed og tilsvarende krav til det interne kontrolmiljø. De interne kontroller vurderes ikke at fungere effektivt, og kræver omgående fokus fra ledelsen og yderligere handlinger for at afdække den identificerede risiko. Anbefalinger til udbedring af svagheder i den interne kontrol Anvendes for svagheder i de interne kontroller, der medfører en forøget risiko for, at der opstår eller ikke opdages fejlinformation i regnskabsaflæggelsesprocessen eksempelvis manglende formalisering af kontrolprocedurer samt utilstrækkelig dokumentation for udførte kontroller. De interne kontroller vurderes ikke at fungere tilstrækkeligt effektivt og kræver ledelsens fokus. Anbefalinger til forbedring af den interne kontrol i øvrigt Anvendes for svagheder i de interne procedurer, som - i revisionsmæssigt henseende - ikke medfører en forøget risiko for fejlinformation i indeværende regnskabsår. Forholdet medtages alene som en information til ledelsen om mulig forbedring af de interne kontroller.

7 Deloitte 5 Ref. Kontrolmål Vurdering Side A1 A3 B1 B B3 D1 Alle nødvendige jobs og kørsler, såvel online som batch, afvikles rettidigt og korrekt, og virksomheden kontrollerer, at dette sker til normal fuldførelse og med forventet resultat. Den fysiske adgang til systemer, data og andre it-ressourcer er begrænset og tilrettelagt i overensstemmelse med skolens behov. En ledelsesgodkendt it-sikkerhedspolitik er udarbejdet med udgangspunkt i en itrisikoanalyse og kommunikeret til hele Greve Kommune. Adgang til systemer, data og andre it-ressourcer administreres, vedligeholdes og overvåges i overensstemmelse med kommunens behov. Den logiske adgang til systemer, data og andre it-ressourcer er begrænset og tilrettelagt i overensstemmelse med kommunens behov. Program- og systemændringer bliver administreret hensigtsmæssigt, prioriteret og vurderet, og gennemførelse af ændringer følger en af ledelsen valgt projektmodel

8 Deloitte 6 Detaljerede observationer og anbefalinger B. It-sikkerhed Kontrolmål B1 En ledelsesgodkendt it-sikkerhedspolitik er udarbejdet med udgangspunkt i en it-risikoanalyse og kommunikeret til hele Greve Kommune. Risiko Manglende overordnet it-sikkerhedspolitik, udarbejdet med udgangspunkt i en it-risikoanalyse og kommunikeret til medarbejderne, medfører risiko for, at den etablerede sikkerhed i forbindelse med it-anvendelsen ikke i tilstrækkelig grad opfylder Greve kommunes behov. Pkt. Observation Anbefaling Pri It-sikkerhedsledelse it-risikoanalyse Vi har fået oplyst, at der ikke er udarbejdet en overordnet og ledelsesgodkendt it-risikoanalyse. En manglende eller utilstrækkelig it-risikoanalyse medfører risiko for, at det etablerede it-sikkerhedsniveau ikke i tilstrækkeligt omfang imødegår de risici, som vurderes som relevante. Vi anbefaler, at der udarbejdes en it-risikoanalyse med henblik på at fastlægge det it-sikkerhedsniveau, som ledelsen ønsker for Greve Kommune. Endvidere anbefaler vi, at it-risikoanalysen opdateres periodisk minimum en gang årligt samt når andre faktorer indikerer nødvendigheden heraf, f.eks. større planlagte ændringer eller uventede hændelser af it-sikkerhedsmæssig karakter. It-risikoanalysen bør danne grundlaget for en it-sikkerhedspolitik samt prioriteringen af indsatsområderne i it-afdelingen. Udarbejdelse af retningslinjer for it-risikoanalyse vil blive gennemført i It-sikkerhedspolitik Vi har konstateret, at den udarbejdede itsikkerhedspolitik ikke er opdateret og dermed ikke afspejler de faktiske forhold og den nye infrastruktur hos Greve Kommune. Eksempelvis bør forhold omkring behandling af personfølsomme oplysninger, brugernes adfærd mht. download samt håndtering af virus beskrives i politikken. Manglende eller utilstrækkelig it-sikkerhedspolitik medfører risiko for, at it-sikkerhedsniveauet ikke er tilstrækkeligt i forhold til Greve Kommunes forhold og endvidere ikke implementeres konsistent. Vi anbefaler, at it-sikkerhedspolitikken, på baggrund af en it-risikoanalyse, opdateres samt ledelsesgodkendes. Endvidere anbefales det, at Greve Kommune fastlægger det konkrete ansvar for implementeringen af itsikkerhedspolitikken. It-sikkerhedspolitikken bør revurderes årligt. Revurderingen af den nuværende it-sikkerhedspolitik fra 14/1-010 vil blive taget op efter al serverdrift pr. 1/1-01 er outsourcet til Atea. It-sikkerhedspolitikken vil fremover blive gennemgået årligt. Kontrolmål B Adgang til systemer, data og andre it-ressourcer administreres, vedligeholdes og overvåges i overensstemmelse med kommunens behov. Risiko Manglende eller svage procedurer vedrørende administration, overvågning og vedligeholdelse af adgang til systemer, data og andre it-ressourcer medfører øget risiko for uautoriseret adgang til disse og dermed risiko for, at it-sikkerheden ikke er i overensstemmelse med kommunens behov. Pkt. Observation Anbefaling Pri Brugerrettigheder udvidede rettigheder Vi har fået oplyst, at tildeling af administrative rettigheder til medarbejdere i it-afdelingen ikke sker på baggrund af en formel autorisation hertil. Vurdering i forhold til ISO7001: Manglende efterlevelse af 11.. Udvidede rettigheder. Vi anbefaler, at tildeling af administrative rettigheder kun sker på baggrund af formelle og dokumenterede autorisationer. En fast skabelon for tildeling af administrative rettigheder er udarbejdet og formaliseret. Prioritet 1: Anbefalinger til udbedring af væsentlige svagheder i den interne kontrol. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol. Prioritet 3: Anbefalinger til forbedring af den interne kontrol i øvrigt.

9 Deloitte 7 B. It-sikkerhed Brugerrettigheder nedlæggelser Vi har ved test af fratrædelsesproceduren konstateret, at flere fratrådte brugere fortsat var aktive i systemerne. Prisme - Vi har konstateret, at 3 fratrådte medarbejdere stadig var aktive i Prisme (dog lukket på Windows). Vi anbefaler, at der i forbindelse med brugeres fratrædelser - såvel medarbejdernes egne opsigelser som afskedigelser - gennemføres en konkret risikovurdering af, hvorledes brugerens rettigheder til systemer, data og netværk skal håndteres, og at rettighederne fratages brugeren på baggrund heraf LPA - Vi har konstateret at 1 fratrådt medarbejder stadig var aktiv i LPA (dog lukket på Windows). Windows Vi har konstateret at 5 fratrådte medarbejdere fortsat var aktive i Windows. Vurdering i forhold til ISO7001: Manglende efterlevelse af Brugernedlæggelse. På baggrund af de få findings af uslettede brugere i de enkelte systemer har vi vurderet, at der er tale om glemsomhed, og den nuværende procedure for brugersletninger i Windows, Prisme og LPA er gennemgået med de ansvarlige og vurderes fyldestgørende. Brugerrettigheder periodisk revurdering Vi har konstateret, at der fortsat ikke bliver foretaget periodisk revurdering af tildelte rettigheder til brugere. Vi anbefaler, at der periodisk foretages en dokumenteret revurdering af tildelte rettigheder til brugere for relevante systemer og platforme Vurdering i forhold til ISO7001: Manglende efterlevelse af Revurdering af brugeradgangsrettigheder. Status 011 Vi har fået oplyst, at der hvert kvartal bliver lavet en opfølgning på brugere, som ikke længere er ansat i kommunen, således at disse bliver slettet. Greve Kommunes regler for brugeradministration er beskrevet i it-sikkerhedspolitikken og i vejledningen i systemejerskab. Der indarbejdes nu krav om periodisk revurdering af rettigheder i dokumenterne. Vi har dog fået oplyst, at der ikke bliver lavet en periodisk revurdering af aktive brugeres adgangsrettigheder til Prisme, LPA og OPUS It-sikkerhedslogning Vi har fået oplyst, at der kun fortages logning af hændelser på Windows. Endvidere har vi fået oplyst, at der ikke gennemføres en dokumenteret periodisk gennemgang. Vurdering i forhold til ISO7001: Manglende efterlevelse af Audit log. Status 011 Vi har konstateret, at der ikke er opsat tilstrækkelig logning på Windows. Vi har endvidere konstateret, at der er etableret en periodisk kontrol for opsamling og arkivering af logfiler på Windows, men at der ikke laves gennemgang af logfiler, idet omfanget af logs er uoverskueligt. Vi anbefaler, at der etableres kontroller, der sikrer, at krav til sikkerhedsmæssig logning på relevante platforme og systemer implementeres og overholdes, samt at der gennemføres en dokumenteret periodisk gennemgang af relevante logs fra disse platforme og systemer. Vi fortsætter med standard Windows Event Viewer logs på serverne men sætter ikke en periodisk kontrol op for proaktivt tjek af loggen, da det ressourcemæssigt vurderes for omfangsrigt i forhold til det forventede udbytte. Observationer og anbefalinger relateret til gennemgang af platform Windows 003 it-sikkerhedslogning Pkt. Observation Anbefaling Pri Vi har konstateret, at logning af Policy Change ikke er implementeret. Manglende eller utilstrækkelig logning af Policy Changes medfører risiko for, at ændringer til f.eks. overordnede sikkerhedsmæssige ændringer, ændringer i konfiguration af logs og tilsvarende ikke sker i overensstemmelse med forventningerne hertil, samt at forsøg på ændringer ikke følges op i tilstrækkeligt omfang. Vurdering i forhold til ISO7001: Manglende efterlevelse af Audit log. Status 011 Vi har konstateret, at forholdet fortsat er uændret. Vi anbefaler, at logning af Policy Changes implementere, og at logning af såvel gennemførte ændringer (Success) som fejlslagne ændringer (Failure) bliver registreret og dermed muliggør en opfølgning. Der indkøbes et modul til det 3. parts værktøj, vi bruger til daglig brugeradministration, som gør det muligt at lave periodiske udtræk af anbefalet log. Prioritet 1: Anbefalinger til udbedring af væsentlige svagheder i den interne kontrol. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol. Prioritet 3: Anbefalinger til forbedring af den interne kontrol i øvrigt.

10 Deloitte 8 B. It-sikkerhed Vi har konstateret, at logning af System Events ikke er implementeret. Manglende eller utilstrækkelig logning af System Events - som f.eks. sletning af logfiler, nedlukning og genstart af servere, ændringer af systemtiden og tilsvarende forhold, medfører risiko for, at sådanne hændelser - eller forsøg herpå - ikke registreres i fornødent omfang. Vurdering i forhold til ISO7001: Manglende efterlevelse af Audit log. Status 011 Vi har konstateret, at forholdet fortsat er uændret. Vi anbefaler, at logning af System Events implementeres således, at såvel gennemførte (Success) og fejlslagne (Failure) handlinger registreres. Vi fortsætter med standard Windows Event Viewer logs på serverne, men sætter ikke en periodisk kontrol op for proaktivt tjek af loggen, da det ressourcemæssigt vurderes for omfangsrigt i forhold til det forventede udbytte Vi har konstateret, at logning af Account Management ikke er implementeret. Manglende eller utilstrækkelig logning af Account Management - som f.eks. oprettelse af brugere, ændring af passwords, disabling af brugere, ændringer af rettigheder og tilsvarende forhold medfører risiko for, at sådanne hændelser - eller forsøg herpå - ikke registreres i fornødent omfang. Vurdering i forhold til ISO7001: Manglende efterlevelse af Audit log. Vi anbefaler, at logning af Account Management implementeres således, at såvel gennemførte (Success) og fejlslagne (Failure) handlinger registreres. Der indkøbes et modul til det 3. parts værktøj, vi bruger til daglig brugeradministration, som gør det muligt at lave periodiske udtræk af anbefalet log. Status 011 Vi har konstateret, at forholdet fortsat er uændret. Observationer og anbefalinger relateret til gennemgang af platform Windows 003 it-sikkerhedskonfiguration Pkt. Observation Anbefaling Pri. Kontrolmål B3 Risiko Den logiske adgang til systemer, data og andre it-ressourcer er begrænset og tilrettelagt i overensstemmelse med skolens behov. Svagheder i den logiske sikkerhed øger risikoen for, at interne eller eksterne personer får uautoriseret adgang til it-ressourcerne og dermed mulighed for at slette, ændre eller kopiere programmer eller data eller i øvrigt kompromittere skolens it-anvendelse. Endvidere øger svagheder risikoen for, at adgangen til itsystemerne ikke understøtter den i skolen etablerede organisatoriske funktionsadskillelse. Vi har konstateret et større antal brugerprofiler, som ikke har fået sat et password. Manglende brug af passwords for aktive brugerprofiler medfører øget risiko for, at sikkerheden på systemet kan kompromitteres. Vi anbefaler, at alle aktive brugerprofiler underlægges krav om brug af password, samt at brugerprofiler uden passwords undersøges nærmere Vurdering i forhold til ISO7001: Manglende efterlevelse af Styring af password. Status 011 Vi har konstateret, at der periodisk laves opfølgning på brugere, som ikke har anvendt systemet. Vi har ved test af udvalgte stikprøver ikke konstateret konti, som skulle deaktiveres. Punktet lukkes. Prioritet 1: Anbefalinger til udbedring af væsentlige svagheder i den interne kontrol. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol. Prioritet 3: Anbefalinger til forbedring af den interne kontrol i øvrigt.

11 Deloitte 9 B. It-sikkerhed Vi har konstateret, at et større antal personlige brugerprofiler er administratorer på Windows Server 003. Vi anbefaler, at antallet af brugerprofiler med administrative privilegier revurderes og nedbringes såfremt muligt Tildeling af administrative privilegier til for mange brugerprofiler medfører risiko for, at sikkerheden ikke kan opretholdes på systemet. Vurdering i forhold til ISO7001: Manglende efterlevelse af 11.. Udvidede rettigheder. Status 011 Vi har konstateret, at forholdet er uændret, idet 36 aktive konti er oprettet som administratorer på Windows. Vi har konstateret et større antal brugerprofiler, som ikke har fået skiftet password i lang tid. Aktive (ikke-disablede) brugerprofiler, som ikke anvendes længere medfører en øget risiko for misbrug af disse, og dermed risiko for, at sikkerheden på systemet kan blive kompromitteret. Vurdering i forhold til ISO7001: Manglende efterlevelse af Revurdering af brugeradgangsrettigheder. Status 011 Vi konstateret, at der periodisk laves opfølgning på brugere, som ikke har anvendt systemet. Vi har ved test af udvalgte stikprøver ikke konstateret konti, som skulle deaktiveres. Punktet lukkes. Vi har konstateret et større antal brugerprofiler, der aldrig har været logget på Windows. Aktive (ikke-disablede) brugerprofiler, som ikke anvendes medfører en øget risiko for misbrug af disse, og dermed risiko for, at sikkerheden på systemet kan blive kompromitteret. Vurdering i forhold til ISO7001: Manglende efterlevelse af Revurdering af brugeradgangsrettigheder. Status 011 Vi har konstateret, at der periodisk laves opfølgning på inaktive brugere. Ved test af udvalgte stikprøver, har vi ikke konstateret konti, som skulle deaktiveres. Punktet lukkes. Kontrol af antallet af administratorer gennemføres og Atea bedes begrunde deres behov deres antal administratorer. Det endelige antal godkendes af It-chefen. Vi anbefaler, at aktive (ikke-disablede) brugerprofiler gennemgås nærmere, og at brugerprofiler, som ikke længere er nødvendige som minimum disables. Vi anbefaler, at aktive (ikke-disablede) brugerprofiler gennemgås nærmere, og at brugerprofiler, som ikke er nødvendige som minimum disables. Prioritet 1: Anbefalinger til udbedring af væsentlige svagheder i den interne kontrol. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol. Prioritet 3: Anbefalinger til forbedring af den interne kontrol i øvrigt.

12 Deloitte 10 D. Programændringer Kontrolmål D1 Nye applikationer, netværksenheder og systemplatforme anskaffes i overensstemmelse med ledelsens og brugernes forventninger og således kan vedligeholdes og supporteres. Risiko Utilstrækkelige eller svage procedurer i relation til anskaffelse af nye systemer, platforme og netværksenheder øger risikoen for, at systemer sættes i drift uden fornøden dokumentation, kvalitetssikring eller ledelsesgodkendelse. Pkt. Observation Anbefaling Pri. Driften af Prisme er outsourcet til Fujitsu, og der modtages ingen erklæring fra Fujitsu angående tilstedeværelsen af hensigtsmæssige interne kontroller, vedrørende ændringshåndtering i systemet. Vi anbefaler, at Greve Kommune indleder konkrete drøftelser med outsourcing leverandørerne om gennemførelse af revision af eller tilvejebringelse af revisionserklæring om de outsourcede kontroller (specifikt gående på ændringshåndtering) Greve Kommune har modtaget en revisionserklæring fra leverandøren, der er generel for alle kommuner. Revisionen finder ikke denne tilstrækkelig. Revisionen og leverandøren er derfor kontaktet med henblik på udarbejdelse af en revisionserklæring, der specifikt adresserer Greve Kommune. 1 41JS/JWS T:\Afd1180\10779 Greve Kommune\011\Greve Kommune GIK 011 END.docx Prioritet 1: Anbefalinger til udbedring af væsentlige svagheder i den interne kontrol. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol. Prioritet 3: Anbefalinger til forbedring af den interne kontrol i øvrigt.