Brev til organisasjonsdirektøren

Svar fra organisasjonsdirektøren

Uavhengig revisors uttalelse

I denne revisjonen har vi utført en kontroll mot etterlevelse av internkontroll i og rundt IT-systemene som genererer regnskapstall. Vi har undersøkt om Trondheim kommunen har tilfredsstillende tilgangsadministrasjon til IT-systemene, om det er tilfredsstillende endringshåndtering av IT-systemer og om Trondheim kommune har tilfredsstillende datasikkerhet og beredskapstiltak.

Gjennomførte tester viser at tilgangsadministrasjon i kommunen fungerer tilfredsstillende og at det er etablert formelle prosesser for å håndtere, dokumentere og gjennomføre endringer i IT-systemer.

Undersøkelsen viser også at kommunen jobber aktivt med datasikkerhet og beredskapstiltak. Det er imidlertid vanskelig å vurdere om de tiltakene kommunen har etablert for datasikkerhet og beredskap er tilstrekkelige i dagens komplekse risiko- og trusselbilde. Revisjonen har bedt kommunedirektøren gi vurdering og tilbakemelding på ni punkter. Disse er besvart av kommunedirektøren.

Basert på de utførte handlingene og innhentede bevis er vi ikke blitt oppmerksomme på noe som gir oss grunn til å tro at Trondheim kommune ikke i det alt vesentlige har tilfredsstillende internkontroll i og rundt IT-systemene som genererer regnskapstall.

Vi vil trekke frem følgende områder som bør ha særlig fokus fremover:

• Utarbeiding av en egen ROS-analyse for IT-området for å sikre et helhetlig bilde av risikoen for IT-driften i Trondheim kommune
• Etablering av en tilstrekkelig og overordnet plan for IT-sikkerhet
• Etablering av en plan for gjennomføring av krise- og beredskapsøvelser for IT-området