Rapporten i pdf

Trondheim kommunerevisjon har i denne etterlevelseskontrollen undersøkt om kommunen har definert ansvar og oppgaver mellom tjenesteforvalter, tjenesteeiere og bydelsområdene for ITsystemet Gat samt roller og tilganger til IT-systemet. 

Konklusjon

Har Trondheim kommune definert ansvar og oppgaver som tjenesteforvalter, tjenesteeier og byrådsområdene skal ha for IT-systemet Gat?

• De fleste lederne er usikre på om det finnes skriftlige rutiner for ansvarsfordeling mellom de fire ansvarsnivåene ved endringer eller nye roller i Gat. 
• Kommunen har en detaljert rutine for tjenesteforvalter for daglig drift av Gat. Rutinen mangler en beskrivelse av hvordan roller i Gat skal    vurderes løpende. Har Trondheim kommune etablert tilfredsstillende styring og kontroll med roller og tilganger i IT-systemet Gat for å sikre at ansattes rettigheter i systemene er i samsvar med tjenstlig behov og gjeldende regelverk?
• Det er ingen lett tilgjengelig beskrivelse av hvilke rettigheter som inngår i de ulike rollene i Gat, noe som er nødvendig for at enhetene skal kunne bestille riktige roller. 
• Det er en risiko at rollen "Merkantil" attesterer og dermed bekrefter at registrerte timer i Gat stemmer med utført arbeid. Merkantilt personale kan i mange tilfeller ha for lite kjennskap til om timene er korrekte.
• Det er en risiko at så mange ansatte i kommunen har rollene "Bruker1" og "Vaktansvarlig" med utvidede rettigheter som kan være ut over tjenestlig behov.  
• Rollen “Vaktansvarlig” brukes fortsatt i Citrix-versjonen fordi erstatningsrollen “MinGatLeder” i web-versjonen ikke tilfredsstiller enhetenes behov, noe som medfører ekstrakostnader for Citrix-lisenser.
• Det er en risiko når rollene “Enhetsleder” og “Avdelingsleder” delegeres til ansatte som ikke innehar disse lederstillingene. Disse rollene gir full registreringstilgang til egen enhet, og både enhetsleder og avdelingsleder kan anvise på timelistene.  
• Rollen “Administrator” kan tildele enkeltrettigheter utover tildelte roller, og enhetsledere har ikke innsyn i disse tilleggsrettighetene. Ansatte kan derfor ha tilganger og rettigheter i Gat, som lederne ikke er kjent med.
• Kommunen har ikke rutiner som spesielt omhandler tilgangshåndtering for Gat.
• Færre enn halvparten av enhetene evaluerer jevnlig ansattes tilgang i Gat, noe som er viktig for å følge prinsippet om minst mulig privilegium.
• Alle handlinger i Gat logges, og administrator har tilgang til den fulle loggen, men enhetene har kun tilgang til logging av avvik ved registrering av timer, fravær og overføringer til lønnssystemet.

Har kommunen sikret opplæring og støtte til de som bruker Gat?

• De fleste av de 16 enhetslederne svarte at de selv og deres ansatte hadde fått tilstrekkelig opplæring i Gat.
• Sju av åtte kommunaldirektører og kommunalsjefer svarte at de ikke visste om de ansatte på deres område hadde fått tilstrekkelig opplæring.
• Et flertall av enhetslederne (13 av 16) svarte at de får tilstrekkelig støtte i bruken av Gat.
• Ingen av de 24 spurte kommenterte manglende støtte i det åpne spørsmålet i undersøkelsen.
• Tjenesteforvalter har fått opplæring i informasjonssikkerhet og det har vært stort fokus på personvern.

Ut fra konklusjonen på de tre problemstillingene så har kommunen ikke tilfredsstillende kontroll og oppfølging av turnussystemet Gat. Rapporten viser flere svakheter, spesielt knyttet til definering av ansvar og styring av roller og tilganger. 

Rapporten i pdf