Kommunernes IT-afdelinger bruger stadig mere tid på eksterne IT-revisioner, der i dramatisk grad er taget til i omfang. Men meget af det materiale revisionerne kræver, burde kunne genbruges og revisionerne burde kunne koordineres bedre, siger IT-cheferne, der opfordrer KL og Digitaliseringsstyrelsen til at starte en forenklingsproces.
IT-revisioner er igennem de sidste fem år vokset i omfang til et niveau, der nu får IT-cheferne i kommunerne til at slå alarm. Det går ikke i længden, at IT-afdelingerne skal bruge stadig mere tid på eksterne IT-revisioner. En stor del af datamaterialet går nemlig igen fra revision til revision – det burde kunne genbruges – og tidsmæssigt burde revisionerne kunne koordineres, så ressource-trækket på IT-afdelingerne formindskes dramatisk.
Magasinet KITA har talt med en række IT-chefer i kommunerne, der på forskellig vis kan fortælle om, hvordan revisionsbyrden vokser og trækker tænder ud. Ikke bare i IT-afdelingerne, men i de stadig flere afdelinger rundt om i kommunerne, der skal involveres.
Alle IT-cheferne kan godt se rationalet bag revisionerne. De er nødvendige. Men de mener kontrollen har taget overhånd. Samtidig er der betydelig forskel på, hvor nidkært revisionerne bliver foretaget alt efter, hvilket revisionsfirma kommunerne har engageret til opgaven. Således konstaterer de, at der er stor forskel på, hvordan BDO og PwC forvalter
revisionerne. Og her peger de på, at revisionsfirmaerne som private aktører selvsagt har en interesse at udvikle forretningsområdet.
I alt er der fire IT-relaterede revisioner, som kommunerne gennemgår eller inden længe skal igennem.
• Økonomisk IT-revision, hvor kommunerne skal sikre, at de digitale processer og arbejdsgangen lever op til den fornødne sikkerhed.
• MitID til borgerne (RA. Red) – en arbejdsgangsbeskrivelse, hvor det kontrolleres at kommunerne opfylder de krav, som er indgået i forbindelse med aftaler med Nets. Kommunen skal dokumentere, at det, der står i arbejdsgangsbeskrivelsen, bliver udført i praksis.
• MitID Erhverv/NSIS (National Standard for Identiteters Sikringsniveauer). Da kommuner bliver opfattet på lige fod med store erhvervsvirksomheder, kan kommuner som arbejdsgiver selv udstede medarbejdersignaturer – MitID Erhverv efter NSIS-standarder.
• NIS2 – skærpet cybersikkerhed.(Network and Information Security version 2) – er ikke implementeret endnu. Men revisorer og konsulenter udbyder allerede kurser, så kommuner kan nå at blive klar til når NIS2 træder i kraft. NIS2 handler om ledelses- og bestyrelsesansvar inden for “livsvigtige” funktioner – som energi, vand og sygehuse og opsamling af skrald.
De stoler ikke på os
Henning Strøkjær, IT-chef i Guldborgsund kommune, der får sine IT-revisioner udført af BDO, oplever, at man ikke genbruger materialerne for de forskellige IT-revisioner. De kører som selvstændige revisioner, der ikke er koordinerede. Samtidig øges tidsforbruget i IT-afdelingen.
”Det kan godt tage over en uge – ja op til 14 dage, før vi er færdige med disse revisioner,” siger han.
Strøkjær oplever samtidig, at man i revisionerne ikke lader sig nøje med de oplysninger, som kommunernes IT-systemer giver.
”Det er ikke nok, at vi med data kan dokumentere, at medarbejderne gør det rigtigt. Nu skal revisorerne live se, at medarbejderne gør det rigtigt”.
Et eksempel er, at der skal være data og log udtræk fra medarbejdere, som har adgang til udbetaling af løn.
Her skal revisorerne simpelthen se den medarbejder, der går ind og trækker loggen direkte, så de kan kontrollere, at der ikke er fusket med den. Og den proces kan jo involvere 10-15 medarbejdere rundt om i kommunens forskellige afdelinger, som skal sidde stand by. Men er det virkelig nødvendigt?” spørger Henning Strøkjær.
Har skiftet BDO ud med PwC
Kaj Erik Olsen, IT-chef i Vejen kommune, oplyser, at materialekravene til de forskellige revisioner er vokset dramatisk over de sidste fem år.
Han har oplevet, at revisionerne er blevet stadig mere omfattende og besværlige. Derfor har Vejen Kommunes IT-afdeling skiftet BDO ud med PwC, hvor man oplever, at arbejdsgangen er en smule mere smidig, f.eks. omkring de såkaldte penetrations-tests, hvor IT-systemernes sikkerhed afprøves. Han vurderer, at Vejen kommune alene bruger tre fuldtidsstillinger på IT-revision.
Kaj Erik Olsen pointerer, at udgangspunktet for revisioner er vejledninger fra Digitaliseringsstyrelsen, som er åbne for fortolkning.
”Men disse vejledninger skal jo ikke fortolkes som om det gjaldt IT-revisioner i f.eks. Nets, der bør være langt mere omfattende end de er i en kommune som vores,” siger han og peger ligesom Henning Strøkjær fra Guldborgsund på, at mere af det omfattende materiale, der går igen i revisionerne, må kunne genbruges. Han nævner også antallet af livepræsentationer sammen med revisor som en årsag til det stigende tidsforbrug. I revisionen i 2018 var der nul livepræsentationer. I 2022 var der 22 livepræsentationer, viser Vejen Kommunes opgørelse.
Tidligere tog det en formiddag
Henrik Brix, IT- og digitaliseringschef I Favrskov kommune og formand for KITA, er også pikeret over den tid, der efterhånden går med at få gennemført alle IT-revisionerne.
”Nu har jeg haft 25-års jubilæum i det kommunale. Den første IT-revision foregik efter et koncept, der hed, at hver tredje år lavede man en total revision. I de to år imellem tjekkede man op på, om det, der skulle rettes, var rettet. Der gik måske en halv dag og en frokost. Nu er vi oppe i, at der til hver revision er aftalt to dage plus forberedende møder. Efterfølgende kommer der en masse opgaver til os. Med alle de revisioner, der er kommet, vil jeg tro af arbejdet er vokset med en faktor 10,” siger Henrik Brix.
Også han mener, at revisionerne må kunne forenkles, materialer genbruges og arbejdet samordnes på bestemte dage. Han opfordrer KL og
Digitaliseringsstyrelsen til at gå ind i en dialog, der har til formål at
forenkle revisionsbyrden.
BDO: Jamen det går godt
De fleste IT-revisioner foretages af BDO og PwC, men også Deloitte og i mindre grad EY er inde på dette forretningsområde, som er udviklet kraftigt i de senere år.
Indtrykket er generelt, at BDO fortolker opgaven meget omfattende, mens det i andre kommuner føles lidt nemmere at samarbejde med PwC.
Partner i BDO, Brian Bomholdt, der er ansvarlig for BDO´s IT-revisioner på det kommunale område afviser dog, at BDO er usmidige.
”Vi genbruger materialer, hvor det er det muligt og aftaler timing individuelt med kunderne. Der er naturligvis læring og erfaring at genbruge, men vi skal også altid kunne stå på mål for vores arbejde i de konkrete sager,” siger han.
Han tilføjer, at der er hans oplevelse, at “BDO har et godt samarbejde med kommunerne”.
”Det er vores opgave at foretage en ekstern og uafhængig revision, men vi bruger naturligvis den feedback, vi får til at forbedre vores leverancer, her under samarbejdet med den enkelte kommune,” tilføjer han.
Digitaliseringsstyrelsens vejledninger for brede?
Opdragsgiverne for de forskellige revisioner er i vid udstrækning Digitaliseringsstyrelsen, der udformer revisionsvejledninger, som private revisionsfirmaer fortolker og iværksætter overfor kommunerne, der hyrer dem ind til at foretage revisionerne.
Et kritikpunkt går på, at Digitaliseringstyrelsens vejledninger til revisionerne er for generelle og brede, hvilket efterlader et for stort spillerum for revisionsfirmaerne til at udvikle deres forretnings-tilbud på området.
Digitaliseringsstyrelsen Christian Plaschke, Kontorchef:
Magasinet KITA har stillet nedenstående spørgsmål til Digitaliseringsstyrelsen vedr. IT-revisionerne. Det er Christian Plaschke, Kontorchef i Kontor for MitID Erhverv og det digitale serviceområdet, der svarer.
De interviewede kommuner efterlyser flere præcise krav fra
Digitaliseringsstyrelsen vedrørende NSIS-revision.
Kan det lade sig gøre?
Digitaliseringsstyrelsen arbejder i øjeblikket på en evaluering og opdatering af NSIS-vejledningen, NSIS-revisionsvejledningen samt NSIS-standarden. Evalueringen finder sted med inddragelse af anvenderne, herunder bl.a. FSR – danske revisorer og Kommunernes Landsforening (KL), ligesom produkterne vil blive sendt i offentlig høring. Evalueringsforløbet forventes afsluttet medio 2024.
Kommunerne fremfører “uensartet implementering” fra revisorernes side, da det afhænger af, hvilket revisionsfirma kommunen har valgt?
NSIS-standarden er såkaldt resultatorienteret, dvs. at der skal opnås en vis grad af sandsynlighed for sikkerheden i løsningerne, men måden sikkerheden opnås kan være forskellig. Revisionsvejledning og NSIS-vejledning er udarbejdet for at give støtte til revisionsarbejdet. Det er en del af evalueringen at undersøge, om vejledningerne kan forbedres yderligere.
KL kommer med et ønske om årsberetninger hvert andet år. Er det muligt at sænke frekvensen af NSIS-revision?
Det er blandt andet noget af det, som skal undersøges i forbindelse med evalueringen.