Hopp til innhold

Difi - Direktoratet for forvaltning og IKT

Digitaliseringsdirektoratet

Internkontroll/styringssystem (Versjon 1.5)

Søkeskjema

Tekststørrelse A+ A a For å endre tekststørrelsen, hold Ctrl-tasten nede og trykk på + for å forstørre eller - for å forminske.
  • Hjelp
  • Kontakt oss
  • Om veilederen
Meny
Hjem » Utdypninger » Måling, evaluering og revisjon » Vurdere status på eget ansvarsområde
  • Hjem
  • Sammendrag
  • Systematiske aktiviteter
  • Etableringsaktiviteter
  • Utdypninger
    • Risikovurdering
    • Risikohåndtering
    • Måling, evaluering og revisjon
      • Vurdere egen status
    • Etableringsaktiviteter
  • Godt å vite

Vurdere status på eget ansvarsområde

Under følger en utdypning av delaktiviteten Vurdere status på eget ansvarsområde. Den er en del av hovedaktiviteten Måling, evaluering og revisjon.

Målgruppe

  • Ledere med ansvar i internkontrollarbeidet.

Innhold

  • Bakgrunn
  • Vurderingens omfang og innretning
  • Hvem som må vurdere status på hva
  • Undersøke status nærmere
    • Planlegging
    • Metodevalg i datainnsamlingen
    • Metodevalg og målepunkter ved avtaler
    • Analyse
  • Oppfølging
  • Dokumentasjon

1 Bakgrunn

Ulike aktører vil normalt ha krav på seg om å systematisk vurdere status på eget ansvarsområde og sørge for forbedringer ved behov. Hvem som skal gjennomføre slike vurderinger, bør fremgå av virksomhetens styrende dokumenter.

2 Vurderingens omfang og innretning

Omfanget av en statusvurdering vil variere. Dersom man har god oversikt over eget ansvarsområde, kjenner sine ansatte godt og ansvarsområdet har lav kompleksitet og kritikalitet, kan vurderingen være overordnet og enkel. Dersom man ikke har god nok oversikt, må man kanskje gjennomføre konkrete undersøkelser for å avdekke status.

En hensiktsmessig tilnærming vil være å vurdere hvor stor tillit man har til at status er slik den bør være i eget ansvarsområde. Dette kan uttrykkes i nivåer: lav, moderat, høy. Tilliten kan være forskjellig for ulike deler av området.

Dersom tilliten er lav, bør nærmere undersøkelser gjennomføres. Dersom den er moderat, bør behovet for nærmere undersøkelser vurderes ut fra hvor kritisk saken anses å være, både for virksomheten og egen enhet. Er tilliten høy, er det normalt ingen grunn til ytterligere undersøkelser. Det betinger imidlertid at tillitsnivået bygger på kritisk refleksjon om egen kunnskap.

3 Hvem som må vurdere status på hva

Ledere som delegerer og skal følge opp gjennom linjen, bør systematisk vurdere hvilken tillit de har til at internkontrollaktivitetene som underliggende ledere er ansvarlige for, blir utført slik de skal.

Risikoeiere og systemeiere for fellessystemer som er ansvarlige for risikovurderinger og tilhørende risikohåndtering, bør systematisk vurdere hvilken tillit de har til at egne internkontrollaktiviteter blir utført forsvarlig, og at egne ansatte etterlever de sikkerhetstiltak som er etablert og gjelder dem.

Felles tiltaksleverandører bør systematisk vurdere om de har tillit til at tiltakene de har ansvar for, fungerer som forutsatt og avtalt. De bør også angi tiltaksstyrke på tiltakene. Dette gir viktig informasjon om status på sikkerhetstiltak og sårbarhet til risikoeiere.

De som er ansvarlige for tjenestenivåavtaler eller andre avtaler, bør også systematisk vurdere om de har tillit til at avtalene blir fulgt.

Også de som er ansvarlige for egne deler av internkontrollaktivitetene, som for eksempel hendelseshåndteringssystemet og internrevisjon, bør systematisk vurdere om de har tillit til at det de har ansvaret for, fungerer i samsvar med forventninger og krav.

4 Undersøke status nærmere

Dersom noen av aktørene over ikke har tilstrekkelig tillit til at det de har ansvaret for fungerer tilfredsstillende, bør de undersøke status nærmere. Det gjøres normalt i tre faser:

  • planlegging
  • datainnsamling
  • analyse

Behov for formaliseringen er avhengig av omfanget av undersøkelsen.

4.1 Planlegging

De det gjelder, bør først få klart for seg hvilke delområder de er usikre på, og hva de trenger mer informasjon om. De bør deretter vurdere om de selv som ledere skal gjennomføre en eller flere undersøkelser, eller om de skal få noen av egne ansatte eller eksterne til å gjøre det. Dette vil normalt avhenge av hvor omfattende undersøkelser som anses nødvendig. Er omfanget stort, kan første deloppdrag være å sette opp en plan for arbeidet. 

Behovet for nærmere undersøkelser vil være størst når slike vurderinger blir gjort første gang.

4.2 Metodevalg i datainnsamlingen

Avhengig av sakens karakter kan gjennomføringsansvarlig velge ulike metoder eller kombinasjoner under datainnsamlingen. Eksempler er:
inspeksjon (av dokumentasjon og konfigurasjon)
intervju (av personer)
testing (av prosedyrer og teknologiske tiltak)

4.3 Metodevalg og målepunkter ved avtaler

For tiltaksleverandører som har inngått tjenestenivåavtaler eller lignende, vil metodevalget være styrt av avtalene.

Avtalene kan stille krav om systematisk måling og rapportering av status på ytelse og effekt. Tiltaksleverandørene må da få etablert nødvendige målepunkter og målemetoder under etablering av tiltakene. Dette gjør at de systematisk kan undersøke og rapportere status i henhold til avtalene.

4.4 Analyse

Etter datainnsamlingen må dataene analyseres. Målet er å avdekke om status er slik den skal være. Har man klart for seg forventet nivå, og har samlet inn relevante data og informasjon, vil analysene normalt være enkle.

5 Oppfølging

Dersom konklusjonen fra undersøkelsene er at det som er undersøkt fungerer som det skal, samtidig som tilliten til undersøkelsene er stor, bør den ansvarliges tillit til at eget ansvarsområde fungerer som det skal, være tilfredsstillende.

Dersom undersøkelsene viser avvik, må den ansvarlige sørge for at dette rapporteres slik det skal. Det kan være direkte til relevante interessenter eller de man har rapporteringsavtale med. Dersom hendelseshåndteringssystemet krever rapportering av denne typen, må det også meldes der.

Ved avvik må den ansvarlige også sørge for konkrete forbedringstiltak tilpasset sakens karakter. Disse må gjennomføres og følges opp slik at tilliten til at ting fungerer, kan økes til et tilfredsstillende nivå.

Vanlige forbedringstiltak vil være

  • kompetanse- og kulturutviklingstiltak
  • justeringer av tiltakene som ikke fungerer som de skal
  • nærmere risikovurderinger rundt problemområdet, med eventuell videre oppfølging i tilhørende risikohåndteringsaktiviteter

6 Dokumentasjon

At vurderingen er gjort som forventet, og hvilke undersøkelser og oppfølgingstiltak som eventuelt er gjennomført, bør dokumenteres i et kort notat.

────────────────────────────────────────────────────────────────────

Til toppen av siden

────────────────────────────────────────────────────────────────────

Aktiviteter

Nyttig

  • Maler og eksempler
  • Begrepsliste
  • Regelverkskrav
  • Hva sier ISO/IEC 27001?
  • Virksomhetskontekst
  • Hva sier andre?
  • Endringslogg
  • Kilder
  • Kontakt: redaksjonen@digdir.no
  • Telefon: +47 22 45 10 00
  • E-post: postmottak@digdir.no
  • Org.nr: 991 825 827