Internkontroll/styringssystem (Versjon 1.5)
Under følger en utdypning av delaktiviteten Etablere rammeverk for dokumentasjon av internkontroll. Dette er en etableringsaktivitet. Den vil være aktuell dersom virksomheten mangler et slikt felles helhetlig rammeverk, eller dersom det eksisterende har store mangler eller svakheter.
De fleste virksomheter har visse fellestrekk i dokumentstruktur, kommunikasjonskanaler o.l., både innen og på tvers av ulike internkontrollområder. Graden av formalisering kan imidlertid variere. Det kan være større eller mindre forskjeller ut fra historie, faglig bakgrunn, ulike ansvarsområder, lite harmonisering mv. Mange virksomheter mangler også tilpassede felles maler for ulike dokumenttyper og bruksområder.
Mangel på helhetlig dokumentstruktur, interne forskjeller, mangel på maler eller mangel på klare føringer for arkivering og tilgjengeliggjøring, vanskeliggjør en velfungerende internkontroll i virksomheten. Det gjelder innen alle internkontrollområder.
Dette kan redusere effektivitet og etterlevelse både i det systematiske internkontrollarbeidet og i konkrete sikkerhetstiltak. Det kan også medføre manglende oversikt over og kontroll på hvilke føringer som finnes, og hva som faktisk skjer i virksomheten. Det handler om vesentlige mangler i grunnlaget for tilstrekkelig kommunikasjon – limet i internkontrollen. Dette er derfor et viktig element å få på plass.
Dersom virksomheten mangler et velfungerende felles helhetlig rammeverk, eller det man allerede har, har store mangler eller svakheter, anbefaler vi at virksomhetsledelsen oppnevner en egen arbeidsgruppe som skal etablere et nytt eller forbedret rammeverk.
Mandatet bør være å få på plass et rammeverk i hovedsak slik det er beskrevet under. Det bør samtidig tilpasses virksomhetens egenart.
Vi anbefaler at rammeverket ikke etableres kun for informasjonssikkerhet, men som et felles rammeverk for alle internkontrollområder i virksomheten. Det er de samme ansatte som må forholde seg til ulike områder. Rammeverket kan med fordel også dekke øvrige deler av virksomhetsstyringen.
Med dette til grunn bør deltakerne i arbeidsgruppen være representanter fra
Arbeidet med rammeverket kan med fordel gjennomføres med bruk av en referansegruppe som når bredt ut i virksomheten. Man må også sikre tilstrekkelig involvering i hele virksomheten, for eksempel gjennom en virksomhetsintern høring.
Man bør ikke gjøre rammeverket og arbeidet med det mer omfattende enn nødvendig. Formålet er at det skal støtte og effektivisere dokumentasjonsarbeid, gjenfinning og bruk av dokumentasjon. Det er også bedre å legge til rette for gradvis forbedring enn å skulle identifisere alle behov i forkant.
I mandatet eller underveis i arbeidet bør man derfor raskt ta stilling til hvor mye av den praktiske implementeringen arbeidsgruppen skal gjøre, og hvor mye som skal overlates til den som foreslås som forvalter av rammeverket.
En skisse av et felles rammeverk for dokumentasjon av internkontroll er vist i figuren under. Begrepene i figuren er ingen fasit, men typiske eksempler. Det er heller ikke nødvendig å ha med alle kolonnene. Man tilpasser og tar med det som gir nytte internt.
Selve rammeverket vil typisk inneholde:
Eksempel på rammeverk for dokumentasjon for internkontroll
Eksempelet er i tråd med DFØs anbefalinger for dokumentasjon av internkontroll.
Policyer og retningslinjer er begrep som brukes i litt forskjellig forståelse i ulike fagmiljø både på tvers av virksomheter og innen de samme virksomhetene. Det gjelder både innretning og omfang.
I dette veiledningsmateriellet brukes begrepet policy om et kortfattet dokument fra virksomhetsledelsen som peker ut en overordnet retning på arbeidet innen et område. I vår sammenheng blir dette policy for informasjonssikkerhet.
I veiledningsmateriellet bruker vi videre begrepet retningslinjer om utfyllende, mer konkrete styringssignal fra virksomhetsledelsen. Den mest sentrale i vår sammenheng er det vi foreslår som Retningslinje for roller og ansvar i internkontroll- og sikkerhetsarbeidet. Den sier hvilke internkontrollaktiviteter innen informasjonssikkerhet som systematisk skal gjennomføres «hos oss».
Noen virksomheter og veiledningsaktører har andre inndelinger, tilnærminger eller begrep rundt dette.
Noen bruker i tillegg begrepene policy eller retningslinjer om mer operasjonelle krav til sikkerhetstiltak på ulike områder. Det henger delvis sammen med en engelsk bruk av policy-begrepet. Vi anbefaler at man er bevisst at dette kan virke forvirrende på norsk, og vurderer bruken av begrepene krav, områdekrav e.l. for denne typen dokumenter.
Det er uansett den enkelte virksomhet som må avgjøre hva som er hensiktsmessig begrepsbruk for dem. Hva virksomheten mener med sentrale dokumentbegrep, bør derfor tydeliggjøres i dette arbeidet med rammeverk for dokumentasjon av internkontroll.
Prosedyrer, rutiner o.l. kan ha ulik formaliserings- og detaljeringsgrad ut fra behov. Man bør være spesielt oppmerksom på at slik dokumentasjon er tiltak for å redusere risiko. Det samme er ulike kompetanse- og kulturutviklingstiltak. De to tiltaksformene kan supplere hverandre eller være alternativ til hverandre.
Omfang og detaljeringsnivå på skriftlige prosedyrer, rutiner o.l. bør derfor ikke fastsettes i dette rammeverket for dokumentasjon. Dette bør i stedet bestemmes etter konkrete risikovurderinger hos dem som er ansvarlig for de ulike arbeidsoppgavene.
Samtidig som prosedyre- og rutinebeskrivelser i noen sammenhenger vil være viktig, er det hverken god ressursbruk eller formålstjenlig å lage flere eller mer detaljerte skriftlige beskrivelser enn det man trenger ut fra risikoene de skal redusere. I mange sammenhenger vil kompetanse- og kulturutviklingstiltak være gode alternativ.
Rammeverket bør peke på tilgjengelige maler for ulike interne dokumenttyper og bruksområder. I enkelte tilfeller kan det være aktuelt og nyttig med flere maler for samme dokumenttype avhengig av bruksområde.
Et typisk eksempel er
Spesifikke notatmaler kan også ha egne maler eller verktøy for bestemte vedlegg, som f.eks. risikovurderingsskjema, risikohåndteringsskjema o.l.
En god indikator på et godt rammeverk på dokumentasjon av internkontroll er at man har et tilpasset sett av maler som gjør arbeidet effektivt. Samtidig må ikke disse være så stramme i formen at de hindrer effektiv tilpasning til spesifikke problemstillinger.
Rammeverket bør inneholde krav eller råd til merking og utforming av dokumenter generelt og ved behov enkelte dokumenttyper spesielt.
Dokumenter bør blant annet merkes ensartet og tydelig, slik at leserne raskt kan se f.eks.
Det er også viktig at informasjonen i dokumentene er hensiktsmessig strukturert, slik at leseren raskt kan få overblikk over
Dette bør danne grunnlag for utdypende beskrivelser der det er behov.
Det er gjennomgående viktig at virksomheten finner et hensiktsmessig nivå på hva som må dokumenteres skriftlig, og hva som i tilstrekkelig grad kan sikres gjennom kompetanse hos og tillit til de ansatte. Det gjelder både operasjonelt styrende (gjennomførende) dokumentasjon og kontrollerende dokumentasjon.
Dette krever en fleksibilitet i hva som faktisk må dokumenteres. Vi anbefaler derfor at konkrete dokumentasjonskrav ikke legges inn i rammeverket for dokumentasjon av internkontroll.
Slike krav bør i stedet bestemmes og tydeliggjøres delvis på
På denne måten kan virksomheten få en behovs- og risikobasert dokumentasjon, som samtidig skjer innenfor et tydelig felles rammeverk for dokumentasjon av internkontroll.
────────────────────────────────────────────────────────────────────
────────────────────────────────────────────────────────────────────