Internkontroll – informasjonssikkerhet
Internkontroll/styringssystem (Versjon 1.3)
Internkontroll/styringssystem (Versjon 1.3)
Under følger en utdypning av delaktiviteten Iverksette godkjente tiltak under hovedaktiviteten Risikohåndtering.
Aktiviteten Iverksette godkjente tiltak starter når en håndteringsansvarlig har fått et oppdrag fra en risikoeier. Vi kaller disse for oppdragsgiver her.
Bakgrunnen er at en oppdragsgiver har godkjent en liste over tiltak som skal gjennomføres eller etableres.
Håndteringsansvarlig må først utforme en konkret handlingsplan for gjennomføring eller etablering av de godkjente tiltakene. Tiltak som skal gjennomføres som engangstiltak, er ofte naturlige aktiviteter som kan legges rett inn i handlingsplanen. Tiltak som skal etableres for å fungere over tid, må ofte omformuleres til aktiviteter som skal utforme og etablere tiltakene. Det er disse utformings- og etableringsaktivitetene som da legges inn i handlingsplanen.
Aktiviteter som er store og omfattende, må i praksis kanskje organiseres som egne prosjekter. Om de da skal kalles aktiviteter eller prosjekter i handlingsplanen, må håndteringsansvarlig selv avgjøre.
En handlingsplan må oftest utformes i dialog med dem som skal gjennomføre aktivitetene. Hvem dette er, vil ofte fremgå av den tiltakslisten risikoeier har godkjent. Ellers må disse utpekes som en del av planleggingen her. Det kan i utgangspunktet være både interne og eksterne tiltaksleverandører samt personer i risikoeiers egen linje. I enkelte tilfeller kan håndteringsansvarlig selv ta ansvaret for konkrete aktiviteter i handlingsplanen.
Handlingsplanen bør som minimum inneholde
Det vil normalt også være behov for en synlig kobling mellom aktivitetene i handlingsplanen og de godkjente tiltakene som er utgangspunktet for arbeidet. En enkel måte å løse dette på er å legge de aktuelle tiltaksnumrene fra den godkjente tiltakslisten inn som en kommentar til de enkelte aktivitetene i handlingsplanen.
Planleggingen bør i hovedsak følge god praksis for prosjekt- og aktivitetsplanlegging generelt og legge vekt på tid, kost og forventet effekt av tiltakene. Tiltak innrettet mot håndtering av de største risikoene, tiltak med størst effekt og tiltak med stor kostnad og kompleksitet er viktigst å ha god styring på.
Dersom det er svært mange likeartede tiltak som skal utformes og etableres, kan det være hensiktsmessig å gruppere arbeidet med disse i noen færre aktiviteter i handlingsplanen. Ved behov for slik gruppering bør håndteringsansvarlig, i samråd med de aktuelle tiltaksleverandørene, vurdere hvilken gruppering som er hensiktsmessig.
Dersom ett eller flere av tiltakene medfører en ny anskaffelse, må regelverket for offentlige anskaffelser følges. I handlingsplanen vil tiltaket eller gruppen av tiltak da ofte bli et anskaffelsesprosjekt ledet av en intern person.
Dersom alle tiltakene er krav i en anskaffelses- eller systemutviklingsprosess, må handlingsplanen og det videre avtale- og oppfølgingsarbeidet utformes og følges opp tilpasset den fremgangsmåten som benyttes i disse prosessene.
Håndteringsansvarlig må som en del av planleggingen gjøre avtaler med dem som skal gjennomføre aktivitetene i handlingsplanen. Formalisering og detaljeringsnivå kan variere og bør tilpasses
For gjennomføring eller etablering av enkle eller standardiserte tiltak internt i en virksomhet kan det ofte være nok med en kort oppdragsbeskrivelse med tidsfrister som partene i en e-post uttrykker enighet om. I de helt enkleste interne tilfellene kan aksept av planen i seg selv være «avtale nok».
Ved store risikoer eller mer komplekse eller omfattende tiltak bør det vurderes om det er behov for mer formelle avtaler, eller en egen prosjektetablering i samsvar med virksomhetens ordinære prosjektrutiner.
Aktuelt innhold i avtaler som krever litt formalisering, er
beskrivelse av hva som konkret skal gjøres eller etableres
frister for sluttleveranse og eventuelle milepæler
hvordan oppfølging av fremdriften skal skje
eventuell kostnad og budsjettdekning
ansvar og vilkår ved eventuell permanent drift og vedlikehold av tiltakene
hvordan oppdragsgiver skal involveres ved sentrale valg i utforming eller innføring som kan få konsekvenser for risikoreduserende effekt, sideeffekter eller kostnad
eventuelle krav til testing, måling eller evaluering av tiltakene både under gjennomføring eller etablering, ved ferdigstillelse og i en eventuell driftsfase
Konkretisering bør skje i dialog med dem som skal gjennomføre eller etablere tiltakene.
Dersom det skal benyttes eksterne tiltaksleverandører, bør oppdraget formaliseres i samsvar med det avtaleregime med eksterne som virksomheten benytter.
Ved bruk av eksterne tiltaksleverandører vil mange virksomheter ha interne koordinatorer på virksomhetsnivå for ulike tiltaksområder. Håndteringsansvarlig, eller de som får ansvaret for konkrete aktiviteter ut mot eksterne, må da samarbeide eller ha dialog med virksomhetens koordinatorer.
Når håndteringsansvarlig er ferdig med handlingsplan og avtaler, må disse godkjennes av oppdragsgiver og eventuelle beslutningstakere hos tiltaksleverandørene. For at dette skal skje effektivt, bør både håndteringsansvarlig og tiltaksleverandørenes representanter ha gjennomført nødvendig løpende dialog med sine overordnede underveis.
Handlingsplanen med tilhørende avtaler for de ulike aktivitetene bør sendes oppdragsgiver som vedlegg til et kort notat. Både notat og godkjenning bør dokumenteres på en hensiktsmessig måte.
Dersom godkjenning ikke kan skje av noen av partene, må håndteringsansvarlig gjøre nødvendige endringer.
Selve gjennomføringen av aktivitetene må deretter skje i samsvar med handlingsplanen og inngåtte avtaler. Håndteringsansvarlig bør systematisk følge opp fremdriften i samsvar med plan og avtaler. Nødvendig rapportering bør skje til oppdragsgiver i samsvar med gitte føringer.
I noen sammenhenger kan man bli nødt til å foreta justeringer underveis i forhold til hva som var avtalt. Alle slike endringer av vesentlig karakter bør godkjennes av oppdragsgiver.
Før en endringssak legges frem for oppdragsgiver, bør håndteringsansvarlig sørge for en klargjøring av hvordan endringen påvirker
Håndteringsansvarlig kan i slike situasjoner ha behov for en dialog med sentrale aktører både fra risikovurderingen, fra dem som kom med forslag til håndtering, og fra organisasjonen forøvrig.
Håndteringsansvarlig bør basert på dette legge frem et forslag for risikoeier om at justeringen skal aksepteres, eller at man bør gjøre deler av aktiviteten Foreslå håndtering på nytt.
Etter hvert som aktivitetene i handlingsplanen blir ferdig, bør håndteringsansvarlig sikre gjennomføring av eventuell sluttesting. Han må sjekke at det som var avtalt, er utført eller levert.
Håndteringsansvarlig bør spesielt være oppmerksom på om det er samsvar mellom sluttresultatet og det som var forventet i tiltakslisten rundt effekt av tiltakene og graden av sideeffekter.
Vesentlige avvik bør rapporteres til risikoeier i samsvar med gitte føringer. Generelt bør håndteringsansvarlig som minimum lage et kort notat til risikoeier når hele handlingsplanen er gjennomført. Notatet bør kort oppsummere vesentlige avvik.
────────────────────────────────────────────────────────────────────
────────────────────────────────────────────────────────────────────
