3. maj 2016. Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret

Relaterede dokumenter
Maj Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret

Maj Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

30. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

21. februar Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

Handlingsplan for bedre behandling af fortrolige oplysninger om personer og virksomheder

Kommissorium for Revisionsudvalget i Spar Nord Bank A/S

Retningslinier for adgangsstyring til Banedanmarks informationsaktiver.

Retsudvalget REU Alm.del endeligt svar på spørgsmål 104 Offentligt

Rapport fra lovpligtigt uanmeldt tilsyn hos borgere, der ikke bor på plejecenter

Rigsrevisionens notat om beretning om SKATs forvaltning af og Skatteministeriets tilsyn med refusion af udbytteskat

Glostrup Kommune 2015

K e n d e l s e: Ved skrivelse af 30. august 2010 har K i medfør af revisorlovens 43, stk. 3, indbragt statsautoriseret revisor R for Revisornævnet.

Foreningen Kollegienet Odense

Forbuddet mod ansættelse omfatter dog ikke alle stillinger. Revisor er alene begrænset fra at:

Svendborg Skolebio. Revisionsprotokollat. Strandvej 75, 5700 Svendborg. CVR-nr

Forberedelser forud for EU s databeskyttelsesforordning. 12 spørgsmål som dataansvarlige allerede nu med fordel kan forholde sig til

Side 1 REGIONERNES LØNNINGS- OG TAKSTNÆVN. Regulativ om afsked af tjenestemænd på grund af helbredsbetinget utjenstdygtighed eller alder

It-revision af Sundhedsdatanettet januar 2016

Greve Kommune. Revision af generelle it-kontroller 2011

Vejledning til ledelsestilsyn

K e n d e l s e: Ved skrivelse af 3. juli 2009 har Revisortilsynet klaget over revisionsvirksomheden R v/ RR og statsautoriseret revisor RR.

Vejledning om mulighederne for genoptagelse efter såvel lovbestemte som ulovbestemte regler. 10. april 2013

Af TDU Udarbejdet den Side 1 af 1

Nyheder og vejledning til version

Gymnasiefællesskabet mellem. Revisionsprotokollat til årsrapport 2011

Håndtering af bunkning

Godkendelse af evaluering af implementeringen af sociale klausuler

Storm P. Museet. Genpart af revisionsprotokollat af 24. maj 2012 vedrørende årsrapporten for 2011 (side 80-84)

Frederikshavn Kommunes administration af ordninger med statsrefusion, medfinansiering af a-dagpenge og beskæftigelsestilskud.

Årsafslutning i SummaSummarum 4

Kommissorium for Revisionsudvalget. Juni 2016

Roskilde Sprogcenter. Revisionsprotokollat af 24. marts 2010 til årsrapporten for 2009 (side 35-40)

K e n d e l s e: Ved skrivelse af 9. september 2009 har K som kommanditist i K/S... klaget over registreret revisor R.

I anledning af klagen har Erhvervs- og Selskabsstyrelsen i en redegørelse af 11. januar 2010 om sagens faktiske omstændigheder udtalt:

Valg af medlemmer til Jyske Banks repræsentantskab og bestyrelse

Revideret indstilling om forslag til modeller for ændring af Københavns Kommunes revisionsordning, herunder Intern Revision og Revisionsudvalget.

RIGSREVISIONEN København, den 11. januar 2007 RN A601/07

Høringsnotat vedrørende høring af udkast til ændring af bekendtgørelse

April Egedal Kommune Revision af generelle it-kontroller hos Egedal Kommune for regnskabsåret

Instruks til brug for revisors afgivelse af erklæring vedrørende distributionstilskud til visse periodiske blade og tidsskrifter for 2014/2015.

Handlingsplan for Vestre Landsret 2010

Fællesregional Informationssikkerhedspolitik

Sundhedskartellets guidelines for fleksjobberes løn- og ansættelsesvilkår.

Beskatning af fri telefon den systemmæssige understøttelse

Erhvervsstyrelsens udtalelse af 3. juli 2014 om revisors uafhængighed i relation til hvervet som depositar

Notat om håndtering af aktualitet i matrikulære sager

Den danske kvalitetsmodel Kommunikation i Handicap, psykiatri og udsatte

Inspektion af Statsfængslet i Ringe den 15. maj 2012

Skema for Lovpligtig redegørelse om god fondsledelse, jf. årsregnskabslovens 77 a for Den Danske Naturfond.

Kontrakt om Videreudvikling, Vedligeholdelse og Support af IMK2- systemet. Bilag 7 Informationssikkerhed

Overholdelse af forvaltningsretlige krav ved indførelse af nye offentlige IT-systemer

APV og trivsel APV og trivsel

VEDTÆGTER. Psykiatri Plus A/S Centre, CVR-nr Dateret 23. december 2015

Informationssikkerhed

Foreningen for certificerede IT-advokater

BILAG 1 KRAVSPECIFIKATION ØKONOMI OG LØN

1. Ledelsens udtalelse

Bofællesskaberne Edelsvej

frcewtfrhousf(wpers ml

Disciplinærnævnet for Statsautoriserede og Registrerede Revisorers kendelse af 19. april 2006 (sag nr R)

Digitaliseringsmodel for administrationen af 225- timersreglen - Inspiration til kommunerne og deres it-leverandører

KENDELSE. afsagt af Konkurrenceankenævnet den 14. februar 2011 i sag nr

UANMODEDE HENVENDELSER (SPAM)

Maj Egedal Kommune Revision af generelle it-kontroller hos Egedal Kommune for regnskabsåret

Sygefraværspolitik i Statens Administration

Frederiksberg Kommune. Sundheds og Omsorgsafdelingen

Arbejdsmiljøgruppens problemløsning

Informationssikkerhedspolitik

Udskrift af Arbejdsrettens retsbog

Borgerrådgiverens hovedopgave er først og fremmest dialog med borgerne i konkrete sager en mediatorrolle, hvor det handler om at:

Storm P. Museet. Genpart af revisionsprotokollat af 26. april 2011 vedrørende årsrapporten for 2010 (side 76-79)

HØJESTERETS DOM afsagt onsdag den 8. september 2010

GENERELLE BETINGELSER

AU-HR Sharepoint Vejledning Medarbejder indplacering

Sikkerhed og Revision 2013 Finansiel revisors ønsker til it-revisor. 5. september 2013

Drøftelse af aflastningsfamilier, interne skoler, egenbetaling mv. DASSOS 25. Januar 2016

august 2010 Plejecentre Rudkøbing Stigtebo Tullebølle Danahus Lindelse Humble + betyder, at der er krav til ændringer Kommentarer vedrørende krav

Svar: De fem spørgsmål hænger tæt sammen, og jeg vil derfor besvare dem under ét.

3. Spørgsmål om indsigt i loggen over opslag og søgninger i CPR.

Vedtægter for. Fonden Dansk Sygeplejehistorisk Museum

Klare tal om effektiviteten i vandsektoren Partner Martin H. Thelle 22. januar 2014

O.13. Regulativ om afsked af kommunale tjenestemænd på grund af helbredsbetinget utjenstdygtighed

Aktindsigt Relevante lovregler

5. Persondataloven 5.1. Indsamling, behandling, behandlingssikkerhed, videregivelse og oplysningspligt Indsamling Behandling

Natur- og Miljøklagenævnet 19. maj 2015 Advokat Mads Kobberø

Statsforvaltningens brev til en journalist. Att.: XXXX. Henvendelse vedrørende afslag på aktindsigt

Lovpligtig redegørelse om god fondsledelse

Front-data Danmark A/S

Notat til Statsrevisorerne om beretning om beslutningsgrundlaget for et eventuelt køb af nye kampfly. Juni 2009

Næstformand, prof., cand.jur. & ph.d. Birgitte Egelund Olsen Seniorforsker, civilingeniør Kirsten Engelund Thomsen Ingeniør m.ida Bjarne Spiegelhauer

2.2 Selskabet skal sikre, at spildevandsforsyningen drives effektivt under hensyntagen til forsyningssikkerhed, sundhed, natur og miljø.

LÆSØ NATURA-2000 LODSEJERFORENING F.M.B.A. UDSKRIFT AF REVISIONSPROTOKOL SIDE 5-8 VEDRØRENDE ÅRSREGNSKABET 2015

Revisionsrapport Revision af generelle it-kontroller 2016

Beskæftigelsesministerens tale på samrådet den 10. februar 2016 om Arbejdsskadestyrelsens sagsbehandlingstider

Til Uddannelsesforbundets tillidsrepræsentanter på EUD og AMU ANBEFALINGER OG KOMMENTARER TIL IMPLEMENTERINGEN AF PD I ERHVERVSPÆDAGOGIK

Spørgsmål og svar om håndtering af udenlandsk udbytteskat marts 2016

Transkript:

3. maj 2016 Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret 2015

Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 3. maj 2016 Formål Vi har i perioden november 2015 til april måned 2016 foretaget gennemgang af de generelle itkontroller i Faxe Kommune (FK). Formålet med gennemgangen har været at vurdere, hvorvidt der er etableret forretningsgange og interne kontroller, som sikrer tilfredsstillende generelle it-kontroller. De generelle it-kontroller er fundamentet for automatiske applikationskontroller, regnskabsprocedurer og systemgenererede data og rapporter, som anvendes i nøglekontroller, og som påvirker den finansielle rapporteringsproces og årsrapporten. Denne rapport vedrører kun de forhold, der er nævnt nedenfor, og kan ikke udstrækkes til at omhandle kommunens forretningsprocesser og interne kontroller som helhed. Rapporten er udarbejdet udelukkende til ledelsen hos Faxe Kommune og må ikke anvendes af eller videregives til tredjemand uden vores forudgående samtykke. Omfang Vi har foretaget gennemgang af, hvordan it-kontroller er tilrettelagt, og så vidt muligt hvordan disse kontroller er implementeret. Vi har endvidere foretaget test af it-kontroller via dataudtræk og gennemgang af modtaget dokumentation. Gennemgangen er foretaget i henhold til gældende revisionsstandarder og har omfattet følgende hovedområder: 1. It-politikker og organisation: Udvikling og implementering af it-strategi og sikkerhedspolitikker Identifikation og vurdering af it-risici It-medarbejdere Styring af outsourcing-/serviceleverandører 2. Drift af datacentre og netværk 3. Anskaffelse, ændringer og vedligeholdelse af systemsoftware 4. Adgangssikkerhed: Politikker og procedurer Beskyttelse af data og funktionsadskillelse 5. Anskaffelse, udvikling og vedligeholdelse af applikationssystemer. Gennemgangen er baseret på interview af medarbejdere i center for HR, Økonomi og IT. Endvidere har vi gennemgået procedurer for udvalgte områder og foretaget inspektion af udvalgt systemdokumentation, herunder udskrifter af relevant parameteropsætning. Kommunen anvender it-serviceudbydere for væsentlige systemer, hvorved en væsentlig del af gennemgangen af de generelle it-kontroller for disse systemer baseres på årlige revisionserklæringer fra it-serviceudbyderne. Vi har modtaget og gennemgået revisionserklæringer fra Silkeborg Data A/S og KMD A/S for perioden 1. januar til 31. december 2015, samt Fujitsu A/S for perioden 1. no- PwC 2

vember 2014 til 31. oktober 2015. Ved gennemgangen af erklæringerne fra Silkeborg Data har vi observeret forhold omkring mangelfulde procedurer vedrørende administration af adgang til informationssystemer og tjenester hos JN Data, som kommunen bør være opmærksom på. Konklusion Det er vores vurdering, at ledelsen i it-afdelingen i perioden har arbejdet med at styrke de generelle it-kontroller. Faxe Kommune har etableret it-kontroller, der i det væsentligste er beskrevet i politikker og retningslinjer og at medarbejderne er bekendt med deres ansvar for kontrol. Vi har ved årets gennemgang observeret to forhold, der giver anledning til nye observationer vedrørende administration af brugeradgang i Prisme & Windows, mens at kommunen har implementeret en beredskabsplan, der er formelt godkendt i april 2016. Endvidere har vi ved gennemgang af brugerkonti på Windows fortsat observeret forekomsten af et antal personhenførbare brugerkonti med administrative privilegier, der ikke har været anvendt i længere tid og/eller ikke påkræves periodisk skift af password i henhold til kommunens informationssikkerhedspolitik. I forbindelse med gennemgangen af svaghederne identificeret sidste år omkring SD-Løn har vi ved gennemgang er ISAE 3402-erklæring i tilknytning til drift af applikationerne i Silkeborg Løn for perioden 1. januar 31. december 2015 konstateret, at enkelte af de identificerede forhold er udbedret. På baggrund af den foretagne revision er det vores samlede vurdering, at de generelle it-kontroller hos Faxe Kommune er på et tilfredsstillende niveau (vurderet ud fra følgende skala: Ikketilfredsstillende, acceptabel, tilfredsstillende og meget tilfredsstillende). Vi har i forbindelse med vores revision givet anbefalinger til styrkelse af sikkerheden. Vores konklusion er baseret på de observationer og anbefalinger, der er anført i det vedlagte skema. Anbefalingerne i bilag 1 kan opsummeres således: It-politikker og organisation Drift af datacentre og netværk Anskaffelse, ændringer og vedligeholdelse af systemsoftware Adgangssikkerhed Anskaffelse, udvikling og vedligeholdelse af applikationssystemer Prioritet 1 0 (0) 0 (0) 0 (0) 0 (0) 0 (0) 0 (0) Prioritet 2 1 (1) 0 (1) 0 (0) 3 (2) 0 (0) 4 (4) Prioritet 3 0 (0) 1 (1) 0 (0) 0 (0) 0 (0) 1 (1) I alt 1 (1) 1 (2) 0 (0) 3 (2) 0 (0) 5 (5) I alt Prioriteringerne skal ses i forhold til det reviderede område og er nærmere defineret i bilag 1. Tal i () angiver antal anbefalinger i 2014. Prioritet 2 og 3 anbefalingerne angiver svagheder, som påvirker den interne kontrol og risikostyring, som der bør arbejdes med på længere sigt. Center for HR, Økonomi og IT har haft lejlighed til at gennemgå dette brev og medfølgende observationsskema, og Faxe Kommunes kommentarer er indarbejdet i observationsskemaet. PwC 3

Såfremt der måtte være kommentarer eller spørgsmål til ovennævnte, er I velkommen til at kontakte os. Vi vil gerne benytte lejligheden til at takke for et godt samarbejde i forbindelse med vores gennemgang. Med venlig hilsen PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab Jesper Møller Langvad Jesper Parsberg Madsen Rainer Petersen statsautoriseret revisor statsautoriseret revisor it-revisor PwC 4

Prioritet skal ses i forhold til det reviderede område og er defineret således: Prioritering 1. Væsentlig mangel Beskrivelse Dette er et alvorligt problem vedrørende intern kontrol, risikostyring eller rapportering, som kan medføre a. betydelige fejloplysninger i regnskab / bogføring som følge af væsentlige fejl eller mangler og / eller b. overtrædelse af gældende love, regler og retningslinjer. Bør omgående vurderes af ledelsen og eventuelt på bestyrelsesniveau. 2. Betydelig svaghed Dette er et problem vedrørende intern kontrol, risikostyring eller rapportering, som kan føre til a. unøjagtigheder i regnskab/bogføring b. mangel på kontrol i den reviderede organisatoriske enhed eller proces; og / eller c. overtrædelse af gældende love, regler og retningslinjer. Bør behandles af ledelsen inden for rimelig tid. 3. Svaghed Dette er et problem vedrørende intern kontrol eller risikostyring, hvis løsning vil føre til: a. forbedring af kvaliteten og / eller effektiviteten af det reviderede område. PwC 0

Bilag 1 Anbefalinger vedrørende revision af generelle it-kontroller Nr. Prio. Observation Risiko Anbefaling er 1. Politikker, organisation m.m. 2014.1.1 2 SD-Løn Mangelfulde procedurer vedrørende administration af adgang til informationssystemer og tjenester hos JN Data Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller i tilknytning til drift af applikationerne i Silkeborg Løn konstateret, at der etableret procedurer for administration af adgang til informationssystemer og tjenester hos JN Data. Silkeborg Data har valgt at outsource driften af it-platform til Jyske Bank, der benytter JN Data som underleverandør. Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for JN-Data, konstateret behov for styrkelse af procedurer vedrørende administration af adgang til informationssystemer og tjenester bl.a. omfattende: Registrering af bruger hos JN Data: Der er konstateret behov for styrkelse af processen for godkendelse og tildeling af administrative rettigheder. Udvidede adgangsrettigheder hos JN Data: For flere af de reviderede operativsystemer og database Mangelfulde procedurer vedrørende administration af adgang til informationssystemer og tjenester hos JN Data øger risikoen for, at uvedkommende kan opnå uautoriseret adgang til systemer og data, der relaterer sig til Faxe Kommunes anvendelse af Silkeborg Løn. Vi anbefaler, at der rettes henvendelse til Silkeborg Data med henblik på, at få rettet op på de konstaterede svagheder i de etablerede procedurer. Der vil blive taget skridt til, at indskærpe overfor Silkeborg Data, at Silkeborg Data, som databehandler for Faxe Kommune, får bragt procedurerne på plads overfor deres underleverandører. Vi accepterer ikke den nuværende situation. 2015 Vi videresender jeres kommentarer til vores kontraktpart og anmoder dem om opfølgning herpå. PwC 1

Nr. Prio. Observation Risiko Anbefaling er er det konstateret, at der er tildelt privilegerede adgangsrettigheder, der ikke vurderes at være begrundet i et arbejdsbetinget behov. Periodisk gennemgang af brugerenes rettigheder hos JN Data: På nogle områder er det konstateret behov for styrkelse af processen for regelmæssig gennemgang af brugernes adgangsrettigheder. Styring af adgangskoder JN Data: For nogle operativsystemer og databaser mv. er der konstateret afvigelser vedrørende krav til kompleksitet og passwordlængde. Opfølgning 2015 Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller i tilknytning til drift af applikationerne i Silkeborg Løn for perioden 1. januar 31. december 2015 konstateret, at enkelte af de ovennævnte forhold er udbedret. Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for JN-Data, konstateret forsat behov for styrkelse af procedurer vedrørende administration af adgang til informationssystemer og tjenester vedrørende: Udvidede adgangsrettigheder hos JN Data: Der er konstateret behov for styrkelse af processen for godkendelse af tildeling af admini- PwC 2

Nr. Prio. Observation Risiko Anbefaling er strative rettigheder. På visse områder er det konstateret, at der er tildelt adgangsrettigheder, der ikke er betinget af et arbejdsbetinget behov. Punktet er åbenstående. 2. Drift af datacentre og netværk 2010.2.2 2 Manglende beredskabsplan Under gennemgang af Faxe Kommune har vi konstateret, at der ikke eksisterer en beredskabsplan for itanvendelsen - se i øvrigt punkt 1.1 Opfølgning 2011 Det er oplyst, at der er anskaffet et produkt fra Neupart til styring af itberedskabsplanen. Kommunen er ikke klar over, om der pt. findes en itberedskabsplan. Opfølgning 2012 Området er uændret. Opfølgning 2013 Det er oplyst, at forholdet er uændret. Opfølgning 2014 Det er oplyst, at der ikke foreligger en godkendt beredskabsplan. Kommunen har nedsat en arbejdsgruppe, der har igangsat arbejdet med at udarbejde en beredskabsplan. Manglende beredskabsplan medfører en risiko for, at det tager uforholdsmæssigt lang tid at reetablere driftssystemerne. Vi anbefaler, at der udarbejdes en nødplan/ beredskabsplan/itkatastrofeplan på grundlag af en risiko- og konsekvensanalyse omkring virksomhedens it-systemer. Opgaven med en risikovurdering og en beredskabsplan påbegyndes i Q4 2011 2011 Enig 2012 Som det i observationspunktet er oplyst, har Faxe Kommune indkøbt produktet Secure Aware hos firmaet Neupart og sønner. Som en naturlig fortsættelse af arbejdet med informationssikkerhedspolitikken, udarbejdes der en beredskabsplan. 2013 Der er ikke udarbejdet en beredskabsplan, men der er PwC 3

Nr. Prio. Observation Risiko Anbefaling er Punktet er åbentstående Opfølgning 2015 Vi har modtaget en it-beredskabsplan samt en række handleplaner omhandlende beredskabsscenarier. Den fremgår dog ikke af den modtagne beredskabsplan at den er formelt ledelsesgodkendt, men vi har fået oplyst, at den er godkendt af centerchefen for itafdelingen. Vi har efterfølgende modtaget ajourført og underskrevet beredskabsplan pr. 29. april 2016. Punktet lukkes. nedsat en arbejdsgruppe, i regi af Center for Økonomi & HR, der er i færd med at udarbejde et arbejdskommissorium for en sådan. 2014 Det komplicerede arbejde med etablering af beredskabsplan, fortsætter i 2015. 2010.2.3 3 Mangelfuld dokumentation af firewall-regler Under gennemgang af firewall har vi observeret, at dokumentationen af reglerne er mangelfuld. Desuden har vi observeret, at der ikke eksisterer nogen formelle procedurer for periodisk gennemgang af reglerne. Opfølgning 2011 Området er uændret. Opfølgning 2012 Området er uændret. Opfølgning 2013 Der er risiko for, at det aktuelle sikkerhedsniveau ikke stemmer overens med det forventede. Vi anbefaler, at firewall-reglerne løbende gennemgås og dokumenteres med henblik på formålet for reglerne. Opfølgning 2015 Vi anbefaler, at kommunen sikrer at de etablerede procedurer for dokumentation af firewall-regler overholdes. Der sikres den nødvendige beskrivelse af en procedure og heri også den nødvendige dokumentation. 2011 Enig 2012 Vedrørende dokumentation af Firewallregler, er vi enige i observationen, men bemærker dog, at vi netop har PwC 4

Nr. Prio. Observation Risiko Anbefaling er Vi har modtaget notat om procedure for gennemgang af firewall regler. Den modtagne procedure beskriver ikke de konkrete arbejdsgange i forbindelse med ændringer i firewallen, herunder ændringsgodkendelse og periodisk gennemgang af reglerne. Efter revisions afslutning har vi modtaget dokumentation for at Faxe Kommune arbejder aktivt med Change Management. Vi følger op herpå ved revisionen for 2014 Opfølgning 2014 Vi har modtaget udarbejdet skabelon for ændring af firewall-regler, og observeret, at ændringer i firewallregler dokumenteres som del af Faxe Kommunes Change Management proces. Det er oplyst, at den udarbejdede procedure for gennemgang af firewallregler er uændret. Vi har observeret, at der er udført netværksskanning af Digicure to gange i 2014, som ekstern tjek af de definerede regler. Disse viser, at der forekom en række alvorlige sårbarheder, som kommunen efterfølgende har arbejdet med at få lukket. Netværksskanninger fra Digicure i 2015 viser, at de alvorlige forhold efterfølgende er løst. Vi har modtaget liste med den aktuelle opsætning, hvor der i bemærkningerne hertil er anført flere regler, der skal skiftet leverandør af firewall, hvorfor en dokumentation af firewallopsætningen, afventer endelig implementering. 2013 Proceduren for Firewallændringer er omfattet af den Changeprocedure, der omtales i punkt 2.1. Vi er således ikke enige i revisionens observationer under punkt 2.3. og der bør rettes eller modereres i jeres tekst. 2014 Arbejdet med ajourføring af såvel firewallregler som dokumentation heraf, er styrket væsentligt i 2015. Vi kan således med tilfredshed konstatere, at der er sket et markant fald i antallet af potentielle sikkerhedshuller og at der ikke længere findes punkter, der af sikkerhedsfirmaet Digicure, karakteriseres som værende kritiske. PwC 5

Nr. Prio. Observation Risiko Anbefaling er slukkes eller afventer. Der er ikke anført formålsbeskrivelse for eksistensen af de enkelte regler heri, og det er vores opfattelse, at dokumentationen for de anvendte regler kan forbedres på dette punkt. Punktet er åbentstående. Opfølgning 2015 Vi har modtaget en ekstern netværksscanning udført af Digicure i april 2015. Endvidere har vi fået oplyst, at der er udført få ændringer i firewall-reglerne i 2015. Vi har modtaget change dokumentation for én af ændringerne, mens det er oplyst, at øvrige tilpasninger ikke er dokumenteret ved change. Herved følger Faxe Kommune ikke sine egne procedurer for change mangagement på området. 2015 Der opstår situationer, hvor der er behov for at lave en akut ændring. Der er ikke taget højde for, hvordan vi sikrer dokumentation for disse i vores nuværende procedure. Vi vil tilpasse vores procedure, således at der fremover sikres dokumentation for akut changes. 3. Anskaffelse, ændringer og vedligeholdelse af systemsoftware 2010.3.1 Ingen bemærkninger 4. Adgangssikkerhed 2015.4.1 2 Brugeradministration oprettelse af brugere Prisme Vi har observeret, at der i 2 ud af 3 modtagne stikprøver ikke forligger dokumentation for oprettelse af adgang vedrørende Prisme. Manglende dokumentation for oprettelse af brugere øger risikoen for at adgange til systemer og data sker ud fra et ikke forretningsmæssigt grundlag Vi anbefaler, at Faxe Kommune revurderer den nuværende procedure samt vurderer om der skal implementeres yderligere kontroller for at sikre at brugeroprettelser ledelsesgodkendes. Kan I oplyse os om hvilke af stikprøverne, hvor der ikke er dokumentation for oprettelsen af adgang til Prisme, således at vi kan få undersøgt, hvad der er gået galt i vores arbejdsgang og der- PwC 6

Nr. Prio. Observation Risiko Anbefaling er med få bedre forudsætninger for at forbygge at dette sker igen. 2015.4.2 2 Brugeradministration nedlæggelse af brugere Prisme & Windows. Vi har observeret, at der i 3 ud af 9 modtagne stikprøver ikke er sket rettidig nedlæggelse af brugeradgang til Prisme og Windows. Manglende rettidig nedlæggelse af brugere øger risikoen for uautoriseret adgang til systemer og data. Vi anbefaler, at Faxe Kommune revurderer den nuværende procedure samt vurderer om der skal implementeres yderligere kontroller for at sikre brugere nedlægges konsekvent og rettidigt. Kan I oplyse os i hvilke af de 3 stikprøver, der ikke er sket rettidig nedlæggelse af brugeradgang til Prisme og Windows, så vi kan følge op på årsagen hertil og således vurdere om vi enten skal ændre procedure eller der måske er en naturlig forklaring på, at brugeradgangen ikke er nedlagt i overensstemmelse med den generelle procedure. 2012.4.5 2 Windows brugerkonti og passwordkrav Under gennemgangen af brugerkonti på Windows domænet har vi observeret: Et stort antal administratorkonti der er inaktive og samtidig ikke kan gøres rede for. 10 administratorkonti hvor der ikke stilles krav om anvendelse af password og som ikke har skiftet password over en længere periode. Manglende oprydning af inaktive brugere. Opfølgning 2013 Manglende anvendelse af password eller skift af password øger risikoen for at det lykkes uvedkommende at opnå uautoriseret adgang til systemer og data. Vi anbefaler, at der systemmæssigt fastsættes krav om password for alle brugerprofiler, og at it-ledelsen påser, at password for sådanne brugerprofiler skiftes i henhold til virksomhedens it-sikkerhedspolitik. (systembrugere er undtaget) Vi er enige i at det er betænkeligt med administrative konti uden krav om password. Vi vil undersøge nærmere, hvorledes den observation kan være sket, da der findes en overordnet bestemmelse (en såkaldt GPO), der forhindrer oprettelse af brugere uden password. Herunder også administrative konti. Finder vi de pågældende konti, vil de blive gransket og bragt i overensstemmelse med den gældende passwordpolitik. PwC 7

Nr. Prio. Observation Risiko Anbefaling er Under gennemgangen af brugerkonti på Windows domænet har vi observeret: 20 brugerkonti med administratorrettigheder, hvor der ikke stilles krav om periodisk skift af password. Heraf er observeret 5 brugerkonti, der senest er benyttet i foråret 2014, og som ikke har skiftet password i en længere periode. Endvidere observeret 1 aktiv brugerkonto med administratorrettigheder, som ikke har skiftet password i mere end to år. 21 brugerkonti med administratorrettigheder, som er enabled men ikke har været benyttet i længere tid (halvt år eller længere). Enkelte konti er sidst benyttet i 2011. 142 brugerkonti, som er enabled, men ikke har været benyttet siden 2012. Opfølgning 2014 Under gennemgang af Windows AD har vi observeret: En række brugerkonti, herunder 3 konti med domain admin rettigheder, påkræves ikke periodisk skift af password, og skifter derfor ikke password i henhold til kommunens it-politik. Vores gennemgang viser dog, at itmedarbejdernes personlige administratorkonti skifter password i 2013 Til Revisionsrapporten for 2012, hvor samme observationspunkt var gjort, svarede vi efterfølgende nedenstående, i en mail til PwC. 1) Kontiene er netop inaktive og kan ikke benyttes. De udgør af samme grund ingen sikkerhedsrisiko. I Faxe Kommune er det ikke kutyme at slette brugere, men at disable dem, af hensyn til eventuelle afhængigheder. 2) a. Det er ikke lykkes os at finde de omtalte 10 passwordløse, administrative konti, og vi tvivler på at de findes. Fastholder I, at de rent faktisk findes, vil vi gerne have en oversigt over hvilke konti det drejer sig om. Vi formoder at de 10 konti I omtaler i rapporten, er 10 konti, der alle starter med "SA-" efterfulgt af et navn. SA- er en forkortelse for "Service Account". De administrative konti benyttes, eller har været benyttet, til at starte services, der er nødvendige for at afvikle PwC 8

Nr. Prio. Observation Risiko Anbefaling er henhold til kommunens politik. Vi har efterfølgende fået oplyst, at krav til passwordskift for de 3 konti er rettet. 2 brugerkonti, der tilsyneladende ikke følger password politikken om periodisk skift af password. 241 brugerkonti, som er enabled, der ikke har været benyttet siden 2013. Vi har efterfølgende fået oplyst, at Faxe Kommune i april 2015 via implementeret løsning for automatisk spærring af ubenyttede brugerkonti, der i perioden 1/4-15 - 5/5-15 har spærret 535 brugerkonti. Opfølgning 2015: Under gennemgangen af brugerkonti på Windows domænet har vi observeret: 19 domæne administratorkonti, som er enabled, der senest har været benyttet i 2014 eller tidligere. 13 personhenførbare domæne administrator konti uden password udløb. Vi vil følge op på, at forholdene er løst, forskellige fagsystemer eller dele af dem. De benytter alle 16-karakters password, som anbefalet af E&Y's IT-revisor i sin tid. 2) b. Vi har en endvidere en formodning om, at det revisionsscript I benytter til at indsamle data fra vores AD, fremkommer med "falske positive". 3) Der er ryddet op i inaktive brugere. Disse er placeret i OU-containere i AD. I Faxe Kommune sletter vi, som udgangspunkt, ikke AD-brugere, men disabler dem, af hensyn til revisionsspor i diverse fagsystemer. Slettes en bruger, ved man ikke længere hvem den pågældende er og hvad vedkommende har lavet i ESDH- eller fagsystemer. 2014 Som det indikeres i revisionsrapportens opfølgning i punkt 2012.4.5 er der lukket ganske mange af de ubenyttede brugerkonti. Der er i Faxe Kommune en ganske god procedure for oprettelse af brugerkonti, men som i PwC 9

Nr. Prio. Observation Risiko Anbefaling er i forbindelse med revisionen for 2016. andre virksomheder "glemmer" mange ledere, at afmelde konti, fra fratrådte medarbejdere. I erkendelse heraf, og for yderligere at styrke sikkerheden, har vi fået udviklet et system (ADA) til automatisk oprydning og lukning af "herreløse" brugerkonti. Vi har derfor automatisk kunnet lukke mere end 500 ubenyttede brugerkonti i 2015. De andre observationer under punktet, vil der blive taget hånd om og få bragt i orden. 2015 Vi har flere domæne administratorkonti, der ikke skal nedlægges og det samme gælder personhenførbare domæne administrator konti. Vi skal derfor bede om en liste over, hvilke 19 domæne administratorkonti og hvilke 13 domæne administrator konti, jeres observation vedrører. Når vi har modtaget listen vil vi gennemgå den og oplyse jer om, hvilken evt. funktion de omhandlede konti PwC 10

Nr. Prio. Observation Risiko Anbefaling er har i dag. Såfremt der er konti, som ikke har en funktion i dag, vil vi naturligvis få ryddet op i disse konti. 2014.4.2 2 SD-Løn - Ineffektiv funktion vedrørende autolukning af brugerkonti ved fratrædelse Vi har fået oplyst, at SD-Løn har etableret en systemmæssig kontrol, der medfører at medarbejderes adgang til SD-Løn automatisk spærres ved fratrædelse. Silkeborg Data oplyser, at der p.t. ikke foreligger nogen tilgængelig beskrivelse af autolukningsfunktionaliteten. Silkeborg Data har endvidere oplyst, at de har konstateret fejl i autolukningen, der p.t. har betydet, at ikke alle brugere automatisk bliver inaktiveret ved fratrædelse, og det er noget som SDløn arbejder på at rettet op. Autolukningsfunktionen vurderes derfor ikke at have været effektiv i 2014. Opfølgning 2015 Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller i tilknytning til drift af applikationerne i Silkeborg Løn ikke observeret bemærkninger om funktionaliteten vedrørende autolukning af brugerkonti ved fratrædelse. Ved vores gennemgang af procedurerne for brugeradministration i relation til adgang til SD-løn, har vi ikke kon- Ineffektiv autolukningsfunktion i SD-Løn, der bevirker at ikke alle brugere automatisk bliver spærret ved fratrædelse, øger risikoen for, at fratrådte medarbejderes brugerkonti i SD-Løn ikke bliver spærret rettidigt. Vi anbefaler, at kommunen midlertidigt etablerer en periodisk kontrol af, om fratrådte medarbejderes brugeradgang til SD-løn er blevet korrekt spærret i systemet i forbindelse med medarbejderens fratrædelse. Vi anbefaler at den midlertidige kontrol udføres månedligt eller kvartalsvist indtil en løsning er etableret i SD- Løn. Kommunen har ikke observeret nogen fejl vedrørende denne funktionalitet, men har taget kontakt til Silkeborg Data for at få dette afklaret nærmere. PwC 11

Nr. Prio. Observation Risiko Anbefaling er stateret forhold, der giver anledning til bemærkninger. Punktet lukkes. 5. Anskaffelse, udvikling og vedligeholdelse af applikationssystemer 2014.5.1 Ingen bemærkninger PwC 12

Bilag 2 Skala for den samlede vurdering Definition: Den interne kontrol har til formål at sikre: at gældende love og regler opfyldes at regnskab / bogføring er retvisende og består af følgende elementer: Kontrolmiljø Virksomhedens risikovurderingsproces Informationssystemet, inkl. tilknyttede forretningsprocesser, som er relevante for årsregnskabet Kontrolaktiviteter Overvågning af kontroller. Meget tilfredsstillende Anses for at være fuldt effektiv. Eventuelle observationer er grundlæggende af mindre betydning og håndteres rutinemæssigt. Observationernes relative risiko anses generelt for at være yderst beskeden. Tilfredsstillende Anses for tilfredsstillende. Observationer afspejler svagheder, som kan rettes i forbindelse med den daglige drift. Observationernes relative risiko anses generelt for at være lille eller moderat. Acceptabel Anses for acceptabel. Observationer afspejler svagheder af moderat karakter og kræver ledelsens opmærksomhed. Observationernes relative risiko anses generelt for at være moderat men ville kunne forværres, hvis styrkelsen af kontrollerne, hvor svagheden er konstateret, ikke er effektiv. Ikke tilfredsstillende Anses for utilfredsstillende. Observationerne afspejler store svagheder eller andre ikke tilfredsstillende forhold. Risikoen ved observationerne anses generelt som værende stor og alvorlig og kan udsætte virksomheden for betydelig risiko for væsentlige fejl og mangler i årsregnskabet. PwC 13

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback