Revisionsrapport Behörigheter Trelleborgs kommun Bengt-Åke Hägg Godkänd revisor mars månad 2015 Behörigheter Innehållsförteckning 1 Sammanfattning................................................................................... 1 2 Inledning .............................................................................................2 2.1 Bakgrund.................................................................................................................2 2.2 Revisionsfråga ........................................................................................................2 2.3 Kontrollmål/granskningsmål .................................................................................2 2.4 Metod och avgränsningar .......................................................................................2 3 Granskningsresultat ............................................................................3 3.1 Allmänt....................................................................................................................3 3.2 Det finns en aktuell attesträttsförteckning avseende attest av ekonomiska transaktioner. ...............................................................................................................4 3.3 Det finns fungerande rutiner för tilldelning och uppföljning av behörigheter i IT-system. .....................................................................................................................4 3.4 Det finns fungerande rutiner för kontroll av att registrerade behörigheter är korrekta utifrån delegationsordning ............................................................................4 3.5 Användarnas behörighetsnivå i IT-system är ändamålsenlig utifrån ansvar och befogenheter. ................................................................................................................4 mars månad 2015 Trelleborgs kommun PwC Behörigheter 1 Sammanfattning Revisionsfrågan är huruvida den interna kontrollen är tillräcklig när det gäller tilldelning och uppföljning av behörigheter i ekonomisystemet? Sammantaget görs den bedömningen att den interna kontrollen är tillräcklig, vilket baseras på följande granskningsresultat: Det finns en aktuell attestförteckning Uppdateringen av enskild behörighet är skild från beslutet om tilldelning av behörighet. Samma person kan alltså inte både besluta och registrera behörighet Uppföljning av tilldelad behörighet sker två gånger per år, samt att automatisk avregistrering av behörighet sker vid tre månaders inaktivitet Logg sker av alla transaktioner, vilket möjliggör spårning av gjorda registreringar Slutlig bedömning i korthet: Rutinen är avgränsad och med spårbarhet. Logglistor gör det möjligt att följa verksamheten, både löpande och för särskilda ändamål Ett fåtal personer är inblandade i rutinen. Återknytning till revisionsfrågan: Sammantaget bedöms rutinerna fungera bra och den interna kontrollen tillräcklig. Rapporten har varit föremål för sakgranskning av berörda. mars månad 2015 Trelleborgs kommun PwC 1 av 5 Behörigheter 2 Inledning 2.1 Bakgrund Enligt kommunallagen kan kommunfullmäktige (KF) föra ned rätten att fatta beslut till nämnderna genom att fatta beslut om en delegation. En viktig förutsättning för en väl fungerande intern kontroll är att det finns rutiner som säkerställer att tilldelade behörigheter i IT-system överensstämmer med beslutade delegationer. 2.2 Revisionsfråga Är den interna kontrollen tillräcklig när det gäller tilldelning och uppföljning av behörigheter i ekonomisystemet? 2.3 Kontrollmål/granskningsmål Följs kommunens policys/riktlinjer? Granskningen inriktas mot följande moment: Finns det en aktuell attesträttsförteckning avseende attest av ekonomiska transaktioner. Finns det fungerande rutiner för tilldelning och uppföljning av behörigheter i IT-system. Rutinerna omfattar såväl attestbehörighet som behörighetsnivå i IT-system. Rutinen är dokumenterad. Finns det fungerande rutiner för kontroll av att registrerade behörigheter är korrekta utifrån delegationsordning samt av förändringar under året (exempelvis medarbetare som slutar, är lediga eller tillfälliga förändringar av behörighet). Är användarnas behörighetsnivå i IT-system är ändamålsenlig utifrån ansvar och befogenheter. 2.4 Metod och avgränsningar Granskningen avgränsas till socialnämnden. Intervju med ansvarig tjänsteman/tjänstemän på förvaltningen. Dokumentstudier av styrande/stödjande dokument. Kontroll av gällande attestreglemente/attestförteckning och ett antal stickprov för att verifiera riktigheten i gällande rutiner och riktlinjer. mars månad 2015 Trelleborgs kommun PwC 2 av 5 Behörigheter 3 Granskningsresultat 3.1 Allmänt Tillämpat system på förvaltningen är Procapita, som i sig inte är ett ekonomisystem, däremot finns det en modul i systemet för utbetalning av ersättning till HVB-hem och institutioner. Tillgången till denna del är begränsad. Procapita IFO är uppdelad mellan Socialförvaltningen och Arbetsmarknadsförvaltningen. Hantering av behörigheter till systemet handhas av systemansvariga. Tilldelning av behörigheter görs av berörd chef i förhållande till tjänsteomfattning. Det finns avgränsningar i systemet för vilka behörigheten omfattar. Tilldelad behörighet innebär både läs- och uppdateringsbehörighet. Vid tilldelning av behörighet meddelar chef systemansvarig den beslutade behörigheten, oftast via mail. Inom IFO finns dock en blankett för behörighetstilldelning. Systemansvarig lägger sedan in vederbörandes behörighet i systemet och ett returmail sänds som bekräftelse på att uppdatering skett. Därefter gäller behörigheten. Behörigheten följer rollen som anställd och gäller tills vidare. När det gäller tillfälliga behörigheter, vid vikariat, semester, sjukdom mm gäller behörigheten tills den tas bort, ändras eller slopas. Beslut om ändrad behörighet eller borttagning av behörighet tas alltid av chef. Rutinen är likartad ovan, d v s meddelande via mail till systemansvarig som uppdaterar systemet. Tillgång till behörighetssystemet har systemansvariga. Handbok för hantering av systemet finns. För systemansvariga finns en utbildning på 2+2 dagar, på en relativt hög nivå. Lösenordsbyte sker var 90:e dag. Inga gamla lösenord kan återanvändas. Tillgången till informationen för den som har behörighet innebär att all information inom tilldelad ram är tillgänglig, ingen extra behörighet finns för ”känslig” information. Loggning sker av all uppdatering i systemet, även för systemansvariga. Uppföljning av loggen sker vanligtvis två gånger per år, då en form av ”kontrollista” körs för aktuella behörigheter, som sedan distribueras till chef. Denna kontrolleras då vad gäller aktuella och inaktuella behörigheter. I det fall inaktuella behörigheter återfinns, regleras dessa enligt ovan. Utöver detta gäller att behörigheten tas bort efter tre månaders inaktivitet, varefter behörigheten behöver aktualiseras igen. mars månad 2015 Trelleborgs kommun PwC 3 av 5 Behörigheter Fjärrinloggning är möjlig via kommunens portal. 3.2 Det finns en aktuell attesträttsförteckning avseende attest av ekonomiska transaktioner. Aktuell attestförteckning finns. 3.3 Det finns fungerande rutiner för tilldelning och uppföljning av behörigheter i IT-system. Rutinen för tilldelning av behörighet finns och bedöms fungera på avsett sätt. Tilldelning sker av chef som har administrativt ansvar och attestbehörighet. Vad gäller uppföljning av aktuella behörigheter sker uppföljning med regelbundenhet 2 gånger per år. Uppföljningen kan synas vara med långt uppehåll, dock kan vi notera att behörigheter upphör efter tre månaders inaktivitet, varefter ny behörighet behöver tilldelas vid behov. Förfarandet bör betyda att det finns en säkerhet för att ej tillämpliga behörigheter ligger kvar i systemet och lämnar behörighet. Vad gäller dokumentationen av behörigheter kan listor på aktuella behörigheter köras med kort varsel för uppföljning, i det fall detta erfordras. När det gäller dokumentation av hur behörigheter tilldelas eller ändras är denna inte helt nedtecknad, dock är rutinen som sådan liten och följer som sådan tilldelad tjänst. Enligt uppgift kommer förvaltningen inom kort att upprätta en skriftlig rutin för tilldelning av behörighetger. 3.4 Det finns fungerande rutiner för kontroll av att registrerade behörigheter är korrekta utifrån delegationsordning Två gånger per år körs lista ut på registrerade behörigheter för kontroll av aktualitet. Utifrån denna lista bedöms om registrerad behörighet behöver ändras eller tas bort. 3.5 Användarnas behörighetsnivå i IT-system är ändamålsenlig utifrån ansvar och befogenheter. Utifrån utförd översiktlig granskning bedöms tilldelade behörigheter ändamålsenliga. mars månad 2015 Trelleborgs kommun PwC 4 av 5 Behörigheter Ange datum Bengt-Åke Hägg Alf Wahlgren Projektledare Uppdragsledare mars månad 2015 Trelleborgs kommun PwC 5 av 5