Brev til organisasjonsdirektøren

Svar fra organisasjonsdirektøren

Uavhengig revisors uttalelse

I denne revisjonen har vi utført en kontroll mot etterlevelse av internkontroll i og rundt IT-systemene som genererer regnskapstall.  Vi har undersøkt om Trondheim kommunen har tilfredsstillende kontroll med tilganger til IT-systemene?  

Gjennomført etterlevelseskontroll viste blant annet at retningslinjene for tildeling av midlertidige passord ikke samsvarte med praksis. Revisjonsrapporten påpekte også at  det manglet årlig gjennomgang av tilganger ved flere av IT-systemene som ble kontrollert i undersøkelsen.  

Etterlevelseskontollen påpekte, blant annet, at det måtte stilles krav til at leverandørene følger kommunens retningslinjer for tilganger til IT-systemene og at det rapporteres på håndtering av upersonlige tilganger.   Undersøkelsen viste at det var forbedringspotensiale knyttet til sikkerhetslogging og sikkerhetsovervåking for kommunens IT-systemer, men kommunen har over tid styrket det operative miljøet i egen organisasjon.  

Konklusjonen i kontrollen:  

Basert på de utførte handlingene, innhentede bevis og organisasjonsdirektørens svar, er vi ikke blitt oppmerksomme på noe som gir oss grunn til å tro at Trondheim kommune ikke i det alt vesentlige har tilfredsstillende kontroll med tilganger til IT-systemene.