Generelle IT-kontroller
Generelle IT-kontroller
Innhold
Trondheim kommunerevisjon har i denne undersøkelsen gjennomgått den interne kontrollen i og rundt IT-systemer/applikasjoner relatert til transaksjoner i regnskapet. Gjennomgangen av de generelle IT-kontrollene gir oss en større sikkerhet for at vi kan bygge på applikasjonskontrollene i vår øvrige revisjon.
Konklusjon:
Kommunen har en godkjent og oppdatert policy for tilgangsstyring som bygger på den anerkjente internasjonale standarden ISO27001- ledelsessystem for informasjonssikkerhet. Det er etablert overordnede rutiner for tilgangsadministrasjon, og alle kontrollerte tilganger i vår undersøkelse er bestilt av autoriserte bestillere.
Kommunen benytter rammeverket ITIL for styring av prosesser i samhandling med sine leverandører. Oppfølging av et utvalg av feilmeldte saker viser at portalen Service Now gir muligheter for å dokumentere og følge opp håndteringene av innmeldte feil.
Det er ikke avdekket avvik i prosedyrer knyttet til oppbevaring av data for systemene LIFT og Bluegarden. Ved utfasing av applikasjoner er det avtalefestet at leverandørene skal stille til rådighet alle nødvendige ressurser for å bistå at Trondheim kommunes data blir overført til kommunen eller ny leverandør. Det foreligger databehandleravtaler i henhold til kravene i personvernforordningen (GDPR) for LIFT, Bluegarden og Komtek.
Gjennomgangen viser imidlertid at det er flere utfordringer som kommunen må ta tak i og få løst.
Sist oppdatert: 09.06.2020