Revisionsrapport
Behörigheter
Trelleborgs kommun
Bengt-Åke Hägg
Godkänd revisor
mars månad 2015
Behörigheter
Innehållsförteckning
1 Sammanfattning................................................................................... 1
2 Inledning .............................................................................................2
2.1 Bakgrund.................................................................................................................2
2.2 Revisionsfråga ........................................................................................................2
2.3 Kontrollmål/granskningsmål .................................................................................2
2.4 Metod och avgränsningar .......................................................................................2
3 Granskningsresultat ............................................................................3
3.1 Allmänt....................................................................................................................3
3.2 Det finns en aktuell attesträttsförteckning avseende attest av ekonomiska
transaktioner. ...............................................................................................................4
3.3 Det finns fungerande rutiner för tilldelning och uppföljning av behörigheter i
IT-system. .....................................................................................................................4
3.4 Det finns fungerande rutiner för kontroll av att registrerade behörigheter är
korrekta utifrån delegationsordning ............................................................................4
3.5 Användarnas behörighetsnivå i IT-system är ändamålsenlig utifrån ansvar och
befogenheter. ................................................................................................................4
mars månad 2015
Trelleborgs kommun
PwC
Behörigheter
1 Sammanfattning
Revisionsfrågan är huruvida den interna kontrollen är tillräcklig när det
gäller tilldelning och uppföljning av behörigheter i ekonomisystemet?
Sammantaget görs den bedömningen att den interna kontrollen är tillräcklig,
vilket baseras på följande granskningsresultat:

Det finns en aktuell attestförteckning

Uppdateringen av enskild behörighet är skild från beslutet om
tilldelning av behörighet. Samma person kan alltså inte både besluta
och registrera behörighet

Uppföljning av tilldelad behörighet sker två gånger per år, samt att
automatisk avregistrering av behörighet sker vid tre månaders
inaktivitet

Logg sker av alla transaktioner, vilket möjliggör spårning av gjorda
registreringar
Slutlig bedömning i korthet:
Rutinen är avgränsad och med spårbarhet. Logglistor gör det möjligt att
följa verksamheten, både löpande och för särskilda ändamål
Ett fåtal personer är inblandade i rutinen.
Återknytning till revisionsfrågan:
Sammantaget bedöms rutinerna fungera bra och den interna kontrollen
tillräcklig.
Rapporten har varit föremål för sakgranskning av berörda.
mars månad 2015
Trelleborgs kommun
PwC
1 av 5
Behörigheter
2 Inledning
2.1 Bakgrund
Enligt kommunallagen kan kommunfullmäktige (KF) föra ned rätten att
fatta beslut till nämnderna genom att fatta beslut om en delegation.
En viktig förutsättning för en väl fungerande intern kontroll är att det finns
rutiner som säkerställer att tilldelade behörigheter i IT-system
överensstämmer med beslutade delegationer.
2.2 Revisionsfråga
Är den interna kontrollen tillräcklig när det gäller tilldelning och uppföljning
av behörigheter i ekonomisystemet?
2.3 Kontrollmål/granskningsmål
Följs kommunens policys/riktlinjer?
Granskningen inriktas mot följande moment:

Finns det en aktuell attesträttsförteckning avseende attest av
ekonomiska transaktioner.

Finns det fungerande rutiner för tilldelning och uppföljning av
behörigheter i IT-system. Rutinerna omfattar såväl attestbehörighet
som behörighetsnivå i IT-system. Rutinen är dokumenterad.

Finns det fungerande rutiner för kontroll av att registrerade
behörigheter är korrekta utifrån delegationsordning samt av
förändringar under året (exempelvis medarbetare som slutar, är
lediga eller tillfälliga förändringar av behörighet).

Är användarnas behörighetsnivå i IT-system är ändamålsenlig utifrån
ansvar och befogenheter.
2.4 Metod och avgränsningar
Granskningen avgränsas till socialnämnden.
Intervju med ansvarig tjänsteman/tjänstemän på förvaltningen.
Dokumentstudier av styrande/stödjande dokument. Kontroll av gällande
attestreglemente/attestförteckning och ett antal stickprov för att verifiera
riktigheten i gällande rutiner och riktlinjer.
mars månad 2015
Trelleborgs kommun
PwC
2 av 5
Behörigheter
3 Granskningsresultat
3.1 Allmänt
Tillämpat system på förvaltningen är Procapita, som i sig inte är ett
ekonomisystem, däremot finns det en modul i systemet för utbetalning av
ersättning till HVB-hem och institutioner. Tillgången till denna del är
begränsad. Procapita IFO är uppdelad mellan Socialförvaltningen och
Arbetsmarknadsförvaltningen.
Hantering av behörigheter till systemet handhas av systemansvariga.
Tilldelning av behörigheter görs av berörd chef i förhållande till
tjänsteomfattning. Det finns avgränsningar i systemet för vilka behörigheten
omfattar. Tilldelad behörighet innebär både läs- och
uppdateringsbehörighet. Vid tilldelning av behörighet meddelar chef
systemansvarig den beslutade behörigheten, oftast via mail. Inom IFO finns
dock en blankett för behörighetstilldelning. Systemansvarig lägger sedan in
vederbörandes behörighet i systemet och ett returmail sänds som bekräftelse
på att uppdatering skett. Därefter gäller behörigheten.
Behörigheten följer rollen som anställd och gäller tills vidare. När det gäller
tillfälliga behörigheter, vid vikariat, semester, sjukdom mm gäller
behörigheten tills den tas bort, ändras eller slopas. Beslut om ändrad
behörighet eller borttagning av behörighet tas alltid av chef. Rutinen är
likartad ovan, d v s meddelande via mail till systemansvarig som uppdaterar
systemet.
Tillgång till behörighetssystemet har systemansvariga.
Handbok för hantering av systemet finns. För systemansvariga finns en
utbildning på 2+2 dagar, på en relativt hög nivå.
Lösenordsbyte sker var 90:e dag. Inga gamla lösenord kan återanvändas.
Tillgången till informationen för den som har behörighet innebär att all
information inom tilldelad ram är tillgänglig, ingen extra behörighet finns
för ”känslig” information.
Loggning sker av all uppdatering i systemet, även för systemansvariga.
Uppföljning av loggen sker vanligtvis två gånger per år, då en form av
”kontrollista” körs för aktuella behörigheter, som sedan distribueras till chef.
Denna kontrolleras då vad gäller aktuella och inaktuella behörigheter. I det
fall inaktuella behörigheter återfinns, regleras dessa enligt ovan. Utöver
detta gäller att behörigheten tas bort efter tre månaders inaktivitet, varefter
behörigheten behöver aktualiseras igen.
mars månad 2015
Trelleborgs kommun
PwC
3 av 5
Behörigheter
Fjärrinloggning är möjlig via kommunens portal.
3.2 Det finns en aktuell attesträttsförteckning
avseende attest av ekonomiska transaktioner.
Aktuell attestförteckning finns.
3.3 Det finns fungerande rutiner för tilldelning och
uppföljning av behörigheter i IT-system.
Rutinen för tilldelning av behörighet finns och bedöms fungera på avsett
sätt. Tilldelning sker av chef som har administrativt ansvar och
attestbehörighet.
Vad gäller uppföljning av aktuella behörigheter sker uppföljning med
regelbundenhet 2 gånger per år. Uppföljningen kan synas vara med långt
uppehåll, dock kan vi notera att behörigheter upphör efter tre månaders
inaktivitet, varefter ny behörighet behöver tilldelas vid behov. Förfarandet
bör betyda att det finns en säkerhet för att ej tillämpliga behörigheter ligger
kvar i systemet och lämnar behörighet.
Vad gäller dokumentationen av behörigheter kan listor på aktuella
behörigheter köras med kort varsel för uppföljning, i det fall detta erfordras.
När det gäller dokumentation av hur behörigheter tilldelas eller ändras är
denna inte helt nedtecknad, dock är rutinen som sådan liten och följer som
sådan tilldelad tjänst.
Enligt uppgift kommer förvaltningen inom kort att upprätta en skriftlig
rutin för tilldelning av behörighetger.
3.4 Det finns fungerande rutiner för kontroll av att
registrerade behörigheter är korrekta utifrån
delegationsordning
Två gånger per år körs lista ut på registrerade behörigheter för kontroll av
aktualitet. Utifrån denna lista bedöms om registrerad behörighet behöver
ändras eller tas bort.
3.5 Användarnas behörighetsnivå i IT-system är
ändamålsenlig utifrån ansvar och befogenheter.
Utifrån utförd översiktlig granskning bedöms tilldelade behörigheter
ändamålsenliga.
mars månad 2015
Trelleborgs kommun
PwC
4 av 5
Behörigheter
Ange datum
Bengt-Åke Hägg
Alf Wahlgren
Projektledare
Uppdragsledare
mars månad 2015
Trelleborgs kommun
PwC
5 av 5