Bilag 9: Kontrol og afstemning ved anvendelse af IT-systemer

Formål

De vigtigste formål med kontrol og afstemning af de benyttede IT-systemer er at:

• man skal kunne have tillid til de benyttede IT-systemer,
• sikre en korrekt sammenhæng mellem inddata, data i registrene og uddata, samt mellem ind- og udbetalinger og regnskabsføring,
• forhindre svig,
• beskytte personalet mod uberettiget mistanke.

Det er vigtigt, at der efterfølgende foreligger dokumentation for alle udførte kontroller.

Ansvar

De budgetansvarlige har ansvaret for, at der for alle IT-systemer er udpeget en dataejer.

Dataejeren skal sikre, at de foreskrevne kontrolfunktioner udføres og har ligeledes ansvaret for, at de beskrevne kontrolfunktioner er ajourført og dokumenteret.

Af hensyn til fastlæggelse af et ensartet kontrolniveau skal kontrollerne tilrettelægges og beskrives af dataejeren i samarbejde med Økonomi- og IT-staben.

Kontrolinstrukser kan eventuelt udarbejdes i en skabelon, som indeholder oplysninger om:

• system
• dataejer
• anden personkreds der eventuelt skal foretage kontroller
• beskrivelse af væsentlige forretningsgange
• kvalitetskontrol
• særligt sårbare personer
• dokumentationskontrol.

Forslag til skabelon fremgår af dette regelsæt.

Generelt

Dette regelsæt er gældende for samtlige opkrævnings- og udbetalingssystemer, som anvendes i kommunen.

Økonomi- og IT-staben er ansvarlig for ajourføring af regelsættet.

Beskrivelse af væsentlige forretningsgange

Dataejerne har ansvaret for at tilrettelægge forretningsgange for anvendelsen af systemerne, herunder tilstrækkelige kvalitets- og dokumentationskontroller. De væsentligste forretningsgange, herunder interne kontroller, skal være beskrevet. Dataejerne har ansvaret herfor.

Kvalitetskontroller

Dataejeren har ansvaret for datakvaliteten. Kvalitetskontrollen skal sikre den valgte kvalitet i systemerne. Alle kontroller skal tilrettelægges ud fra en vurdering af væsentlighed og risiko. Hovedreglen er, at kontrollerne udføres ved stikprøver.

Dataejeren skal have et dokumenteret overblik over datakvaliteten. Dette overblik kan tilvejebringes på forskellig vis, eksempelvis ved at notere registrerede fejl og/eller ved en systematisk, stikprøvevis efterkontrol.

Dataejerne har ansvaret for, hvilke medarbejdere i kommunen, der skal have adgang til systemets forskellige funktioner.

Særligt sårbare personer

Såfremt et IT-system håndterer ind- og udbetalinger vedrørende personer, som i fejlsituationer er særligt udsat for kritik, skal der omkring disse sager/personer tilrettelægges en mere omfattende kvalitetskontrol.

Målgruppen er som minimum personer, som selv har indberetningsadgang til det pågældende system og eksempelvis direktører, afdelings-/stabschefer samt folkevalgte.

Kontrollen kan ikke udføres af den enkelte selv. Kontrollen kan som udgangspunkt ikke udføres ved stikprøver. Kontrollen udføres mindst én gang årligt.

Dokumentationskontrol

Dataejeren har ansvaret for, at der udføres dokumentationskontrol. Formålet med dokumentationskontrollen er at forhindre svig samt at beskytte personalet mod uberettiget mistanke. Der skal derfor tilrettelægges kontroller til sikring heraf.

Dokumentationskontrollen skal som udgangspunkt være personmæssigt adskilt fra indberetnings- og sagsbehandlerfunktioner i de enkelte systemer. Er dette ikke tilfældet, gennemføres alternative kontroller efter aftale med Revisionen.

Kontrollen skal normalt udføres for alle tilgange og ved alle ændringer i pengestrømmens retning.

Kontrollen kan som udgangspunkt ikke udføres ved stikprøver.

Skabelon for systemspecifik beskrivelse

System

Hvilket system er der tale om? – eksempelvis Silkeborg Løn.

Dataejer

Hvem er dataejer?

Det behøver ikke nødvendigvis være et navn – en helt entydig stillingsangivelse kan også være tilstrækkelig – eksempelvis: Personalechefen.

Beskrivelse af væsentlige forretningsgange

De væsentligste forretningsgange kan beskrives her (eller der kan henvises til eksisterende beskrivelser).

Det vil normalt være tilstrækkelig med en forholdsvis kort beskrivelse, som alene har til formål at opridse grundprincipperne.

Kvalitetskontrol

Kort beskrivelse af, hvilke kvalitetskontroller der er tilrettelagt (eller henvisning til eksisterende beskrivelser):

• Hvilke kontroller er indbygget i selve IT-systemet (valideringskontroller, beløbskontroller ect.)?
• Hvem kontrollerer?
• Hvad – og til hvad kontrolleres?
• Hvordan dokumenteres?
• Hvordan måles kvaliteten i databehandlingen?

Særligt sårbare personer

Målgruppen defineres her.

Det defineres også, hvem der er ansvarlig for at udføre kontroller, og hvornår kontroller skal finde sted.

Dokumentationskontrol

Her beskrives grundlag og forretningsgang for dokumentationskontrol (eller henvisning til eksisterende beskrivelser).

Eventuelt hvilke kontroller, der er indbygget i selve IT-systemet – eksempelvis omkring indberetning til eget cpr.nr.

Ajourføringsdato

Hvornår har dataejer senest ajourført beskrivelsen?