Under følger en utdypning av delaktiviteten Etablere rammeverk for dokumentasjon av internkontroll. Dette er en etableringsaktivitet. Den vil være aktuell dersom virksomheten mangler et slikt felles helhetlig rammeverk, eller dersom det eksisterende har store mangler eller svakheter.

Målgruppe

• De som skal organisere, lede og delta i arbeidet. Fagansvarlig informasjonssikkerhet er en av disse aktørene.

Innhold

• Utgangspunkt og bakgrunn
• Organisering og gjennomføring av aktiviteten
• Rammeverkets struktur og innhold
• Spesifikt om
  
  • policyer og retningslinjer
  • prosedyrer, rutiner o.l.
  • maler
  • merking og innholdsstruktur
• Grensesnitt mot andre føringer

1 Utgangspunkt og bakgrunn

De fleste virksomheter har visse fellestrekk i dokumentstruktur, kommunikasjonskanaler o.l., både innen og på tvers av ulike internkontrollområder. Graden av formalisering kan imidlertid variere. Det kan være større eller mindre forskjeller ut fra historie, faglig bakgrunn, ulike ansvarsområder, lite harmonisering mv. Mange virksomheter mangler også tilpassede felles maler for ulike dokumenttyper og bruksområder.

Mangel på helhetlig dokumentstruktur, interne forskjeller, mangel på maler eller mangel på klare føringer for arkivering og tilgjengeliggjøring, vanskeliggjør en velfungerende internkontroll i virksomheten. Det gjelder innen alle internkontrollområder.

Dette kan redusere effektivitet og etterlevelse både i det systematiske internkontrollarbeidet og i konkrete sikkerhetstiltak. Det kan også medføre manglende oversikt over og kontroll på hvilke føringer som finnes, og hva som faktisk skjer i virksomheten. Det handler om vesentlige mangler i grunnlaget for tilstrekkelig kommunikasjon – limet i internkontrollen. Dette er derfor et viktig element å få på plass.

2 Organisering og gjennomføring av aktiviteten

Dersom virksomheten mangler et velfungerende felles helhetlig rammeverk, eller det man allerede har, har store mangler eller svakheter, anbefaler vi at virksomhetsledelsen oppnevner en egen arbeidsgruppe som skal etablere et nytt eller forbedret rammeverk.

Mandatet bør være å få på plass et rammeverk i hovedsak slik det er beskrevet under. Det bør samtidig tilpasses virksomhetens egenart.

Vi anbefaler at rammeverket ikke etableres kun for informasjonssikkerhet, men som et felles rammeverk for alle internkontrollområder i virksomheten. Det er de samme ansatte som må forholde seg til ulike områder. Rammeverket kan med fordel også dekke øvrige deler av virksomhetsstyringen.

Med dette til grunn bør deltakerne i arbeidsgruppen være representanter fra

• fagansvarlig informasjonssikkerhet
• virksomhetens øvrige internkontrollområder
• virksomhetsstyring for øvrig
• arkiv
• kommunikasjonsenhet
• arbeid med virksomhetsarkitektur e.l.

Arbeidet med rammeverket kan med fordel gjennomføres med bruk av en referansegruppe som når bredt ut i virksomheten. Man må også sikre tilstrekkelig involvering i hele virksomheten, for eksempel gjennom en virksomhetsintern høring.

Man bør ikke gjøre rammeverket og arbeidet med det mer omfattende enn nødvendig. Formålet er at det skal støtte og effektivisere dokumentasjonsarbeid, gjenfinning og bruk av dokumentasjon. Det er også bedre å legge til rette for gradvis forbedring enn å skulle identifisere alle behov i forkant.

I mandatet eller underveis i arbeidet bør man derfor raskt ta stilling til hvor mye av den praktiske implementeringen arbeidsgruppen skal gjøre, og hvor mye som skal overlates til den som foreslås som forvalter av rammeverket.

3 Rammeverkets struktur og innhold

En skisse av et felles rammeverk for dokumentasjon av internkontroll er vist i figuren under. Begrepene i figuren er ingen fasit, men typiske eksempler. Det er heller ikke nødvendig å ha med alle kolonnene. Man tilpasser og tar med det som gir nytte internt.

Selve rammeverket vil typisk inneholde:

• En variant av oversiktsfiguren foran med klargjøring av dokumentasjonstyper, ansvar og eventuelt supplerende informasjon.
• Videre presiseringer eller utdypninger, gjerne i en tabell, som viser formål og bruksområde for de enkelte dokumenttypene.
• Maler for ulike interne dokumenttyper og bruksområder.
• Krav eller råd til merking og utforming av dokumenter generelt eller enkelte dokumenttyper spesielt.
• Tydelige arkiverings- og eventuelle journalføringskrav samt en beskrivelse av hvordan dokumentasjon på ulikt nivå skal kobles sammen.
• Tydelige krav til hvilke dokumenter som skal være spesielt effektivt tilgjengelig via virksomhetens intranett e.l., og hvilke som eventuelt skal være tilgjengelig på annen måte.
• Tydeliggjøring av når dokumenteringsansvarlig bør vurdere om spesiell tilgangsstyring er nødvendig, og klargjøring av hvordan slik tilgangsstyring kan gjennomføres.
• Tydeliggjøring av hvilken organisatorisk enhet i virksomheten som har forvaltningsansvaret for rammeverket, og hvilke prosedyrer som skal følges ved behov for forbedringer.

Eksempel på rammeverk for dokumentasjon for internkontroll

• [EKSEMPEL] Retningslinje Rammeverk for dokumentasjon av internkontroll (docx)

Eksempelet er i tråd med DFØs anbefalinger for dokumentasjon av internkontroll.

4 Policyer og retningslinjer

Policyer og retningslinjer er begrep som brukes i litt forskjellig forståelse i ulike fagmiljø både på tvers av virksomheter og innen de samme virksomhetene. Det gjelder både innretning og omfang.

I dette veiledningsmateriellet brukes begrepet policy om et kortfattet dokument fra virksomhetsledelsen som peker ut en overordnet retning på arbeidet innen et område. I vår sammenheng blir dette policy for informasjonssikkerhet.

I veiledningsmateriellet bruker vi videre begrepet retningslinjer om utfyllende, mer konkrete styringssignal fra virksomhetsledelsen. Den mest sentrale i vår sammenheng er det vi foreslår som Retningslinje for roller og ansvar i internkontroll- og sikkerhetsarbeidet. Den sier hvilke internkontrollaktiviteter innen informasjonssikkerhet som systematisk skal gjennomføres «hos oss».

Noen virksomheter og veiledningsaktører har andre inndelinger, tilnærminger eller begrep rundt dette.

Noen bruker i tillegg begrepene policy eller retningslinjer om mer operasjonelle krav til sikkerhetstiltak på ulike områder. Det henger delvis sammen med en engelsk bruk av policy-begrepet. Vi anbefaler at man er bevisst at dette kan virke forvirrende på norsk, og vurderer bruken av begrepene krav, områdekrav e.l. for denne typen dokumenter.

Det er uansett den enkelte virksomhet som må avgjøre hva som er hensiktsmessig begrepsbruk for dem. Hva virksomheten mener med sentrale dokumentbegrep, bør derfor tydeliggjøres i dette arbeidet med rammeverk for dokumentasjon av internkontroll.

5 Prosedyrer, rutiner o.l.

Prosedyrer, rutiner o.l. kan ha ulik formaliserings- og detaljeringsgrad ut fra behov. Man bør være spesielt oppmerksom på at slik dokumentasjon er tiltak for å redusere risiko. Det samme er ulike kompetanse- og kulturutviklingstiltak. De to tiltaksformene kan supplere hverandre eller være alternativ til hverandre.

Omfang og detaljeringsnivå på skriftlige prosedyrer, rutiner o.l. bør derfor ikke fastsettes i dette rammeverket for dokumentasjon. Dette bør i stedet bestemmes etter konkrete risikovurderinger hos dem som er ansvarlig for de ulike arbeidsoppgavene.

Samtidig som prosedyre- og rutinebeskrivelser i noen sammenhenger vil være viktig, er det hverken god ressursbruk eller formålstjenlig å lage flere eller mer detaljerte skriftlige beskrivelser enn det man trenger ut fra risikoene de skal redusere. I mange sammenhenger vil kompetanse- og kulturutviklingstiltak være gode alternativ.

6 Maler

Rammeverket bør peke på tilgjengelige maler for ulike interne dokumenttyper og bruksområder. I enkelte tilfeller kan det være aktuelt og nyttig med flere maler for samme dokumenttype avhengig av bruksområde.

Et typisk eksempel er

• generell notatmal uten spesifikk struktur på innhold
• mal for risikonotat med deloverskrifter som viser hva som kort bør omtales
• mal for risikohåndteringsnotat med deloverskrifter som viser hva som kort bør omtales

Spesifikke notatmaler kan også ha egne maler eller verktøy for bestemte vedlegg, som f.eks. risikovurderingsskjema, risikohåndteringsskjema o.l.

En god indikator på et godt rammeverk på dokumentasjon av internkontroll er at man har et tilpasset sett av maler som gjør arbeidet effektivt. Samtidig må ikke disse være så stramme i formen at de hindrer effektiv tilpasning til spesifikke problemstillinger.

7 Merking og innholdsstruktur

Rammeverket bør inneholde krav eller råd til merking og utforming av dokumenter generelt og ved behov enkelte dokumenttyper spesielt.

Dokumenter bør blant annet merkes ensartet og tydelig, slik at leserne raskt kan se f.eks. 

• hvilken type dokument det er
• hvilket nivå i dokumentasjonsstrukturen det tilhører
• innenfor hvilket område det gjelder
• hvilken versjon av dokumentet det er
• tidspunkt for godkjenning
• hvem som har godkjent det

Det er også viktig at informasjonen i dokumentene er hensiktsmessig strukturert, slik at leseren raskt kan få overblikk over

• målgruppe
• formålet med dokumentet
• hvordan og når eventuelle aktiviteter skal utføres

Dette bør danne grunnlag for utdypende beskrivelser der det er behov.

8 Grensesnitt mot andre føringer

Det er gjennomgående viktig at virksomheten finner et hensiktsmessig nivå på hva som må dokumenteres skriftlig, og hva som i tilstrekkelig grad kan sikres gjennom kompetanse hos og tillit til de ansatte. Det gjelder både operasjonelt styrende (gjennomførende) dokumentasjon og kontrollerende dokumentasjon.

Dette krever en fleksibilitet i hva som faktisk må dokumenteres. Vi anbefaler derfor at konkrete dokumentasjonskrav ikke legges inn i rammeverket for dokumentasjon av internkontroll.

Slike krav bør i stedet bestemmes og tydeliggjøres delvis på

• overordnet nivå gjennom virksomhetsledelsens føringer i virksomhetens retningslinje for internkontroll eller tilsvarende
• taktisk ledernivå som en del av delaktiviteten Delegere og følge opp gjennom linjen
• operativt nivå som krav til konkrete tiltak. Dette vil være aktuelt der det er viktig for risikoeiere, systemeiere fellessystemer og tiltaksleverandører å få dokumentert hvordan oppgaver skal gjennomføres, samt at tiltakene faktisk blir fulgt eller gjennomført

På denne måten kan virksomheten få en behovs- og risikobasert dokumentasjon, som samtidig skjer innenfor et tydelig felles rammeverk for dokumentasjon av internkontroll.