Innhold

• Bakgrunn
• Kommuneloven og økonomiregelverket i staten
• Kombinasjon av styringsoppskrifter
• Internkontroll på ulike områder
• Fleksibiliteten i dette veiledningsmateriellet

1 Bakgrunn

Både eForvaltningsforskriftens § 15 og ISO/IEC 27001 anbefaler at internkontrollen/styringssystemet på informasjonssikkerhetsområdet bør være en integrert del av virksomhetens helhetlige styringssystem. Sikkerhetsloven § 4-1 stiller krav om at sikkerhetsarbeidet etter loven skal være en del av virksomhetens styringssystem.

Det faller utenfor mandatet til dette veiledningsmateriellet å gå dypt inn på alle internkontrollområder og hvordan integreringen kan eller bør være. Men for å legge til rette for en helhetsforståelse og integrert tilnærming følger under en kort omtale av styringssystemkonteksten som internkontrollen på informasjonssikkerhetsområdet inngår i.

2 Kommuneloven og økonomiregelverket i staten

Styringssystemet i offentlige virksomheter er på overordnet nivå bestemt av kommuneloven for kommunene og av økonomiregelverket i staten for statlige virksomheter. I tillegg kan enkelte andre lover gi noen rammer. Innenfor dette er det stort handlingsrom, og ulike virksomheter organiserer seg ofte ulikt både med hensyn til organisatoriske enheter, hvordan disse styres, og hvilke styringsoppskrifter som tas i bruk.

Det finnes ingen fasit på hva som er best. Det blir virksomhetens egenart, størrelse, historie og utfordringer, kombinert med ledelsens og de tillitsvalgtes vurderinger av hvilken organiserings- og styringsform som gir best effekt og arbeidsforhold, som avgjør. Innenfor de lover, regler og føringer som gjelder for ulike virksomhetstyper, er sammensetningen av styringssystemet i stor grad et strategisk valg i virksomheten, utformet av ledelsen i dialog med de tillitsvalgte.

3 Kombinasjon av styringsoppskrifter

Virksomheter blir i dag oftest styrt gjennom bruk av kombinasjoner av flere såkalte styringsoppskrifter. De mest vanlige, i ulike kombinasjoner, er

• målstyring, gjerne i form av typen «Balansert målstyring»
• kvalitetsstyring, gjerne basert på ISO 9001
• internkontroll i ulike varianter, gjerne basert på
  
  • generelle rammeverk som COSO
  • spesifikke standarder innen spesielle områder som ISO/IEC 27001 innen informasjonssikkerhet
  • konkrete krav om mål, rettigheter, fremgangsmåter o.l. i lover og forskrifter innen ulike tema eller saksområder
  • erfaringsbasert praksis i virksomhetene

I tillegg benytter mange virksomheter risikostyring som en gjennomgående styringsoppskrift på tvers av mange av de andre styringsoppskriftene nevnt over. Risikostyring kan være sentral på strategisk nivå både når det gjelder den overordnede organiseringen, målstyringen og kvalitetsstyringen.

Risikostyring vil også i de fleste tilfeller være svært sentralt på operativt nivå i internkontrollarbeidet uavhengig av hvilket faglig eller juridisk siktemål dette har. Ved å gi føringer for risikostyringen i virksomheten generelt kan ledelsen dermed gi sentrale føringer for en stor del av styringssystemet for øvrig, herunder internkontrollarbeidet både på informasjonssikkerhetsområdet og andre områder.

Disse styringsoppskriftene kombineres også med ulike bevisste eller ubevisste ledelsespraksiser i benevnelser fra instrumentell styring til relasjonell ledelse. Det er denne totaliteten av valgte styringsoppskrifter og ledelsespraksiser som utgjør virksomhetens helhetlige styringssystem.

4 Internkontroll på ulike områder

Det er spesielt viktig i vår sammenheng å merke seg de ulike perspektivene og behovene en virksomhet kan ha innen internkontroll. Dette kan for eksempel være:

1. Internkontroll på valgte prosesser, aktiviteter eller prosjekter i målstyringen for å sikre at de når virksomhetens mål med hensyn til resultat, tid og kost.
2. Internkontroll innen HMS for å sikre at arbeidet som utføres, er i samsvar med eksterne og interne krav til HMS.
3. Internkontroll for å ivareta nasjonale sikkerhetsinteresser iht. sikkerhetsloven, inkludert å sørge for forsvarlig sikkerhetsnivå for skjermingsverdig informasjon og skjermingsverdige informasjonssystemer.
4. Internkontroll med hensyn til om virksomheten etterlever spesifikke krav til oppgaveutføringen, eksempelvis ved behandling av personopplysninger etter personopplysningsloven, utføring av tjenester etter sosial- og helselovgivningen, gjennomføring av anskaffelser etter lov og forskrift om offentlige anskaffelser, bruk og regnskapsføring av offentlige midler etter eksterne og interne bestemmelser om økonomistyring mv.
5. Internkontroll på informasjonssikkerhetsområdet generelt for å sikre at informasjonsbehandlingen i de ulike prosessene, aktivitetene og prosjektene i virksomheten skjer med en tilstrekkelig og balansert sikring av konfidensialitet, integritet og tilgjengelighet i samsvar med ledelsens føringer.

Disse internkontrollperspektivene henger også til en viss grad sammen. Det virksomheten gjør i punkt 1, må være i samsvar med kravene i punkt 2 og 3, og alle må understøttes av punkt 4.

Da alle disse perspektivene og behovene innen internkontroll ofte gjelder de samme prosessene, aktivitetene eller prosjektene, vil det oftest være nyttig at virksomheten klarer å se sammenhengene og synergimuligheter, og i den grad det er hensiktsmessig, etablerer og gjennomfører de samme hovedprosessene eller hovedaktivitetene i internkontrollarbeidet.

5 Fleksibiliteten i dette veiledningsmateriellet

Dette veiledningsmateriellet beskriver og utdyper hovedaktivitetene i internkontrollarbeidet på informasjonssikkerhetsområdet. Materiellet er basert på eForvaltningsforskriften § 15 og ISO/IEC 27001. Disse hovedaktivitetene kan likevel med små justeringer tilpasses de fleste modeller eller metoder for internkontroll som er i bruk i virksomhetene. Veiledningsmateriellet bør derfor ha god anvendelse også for dem som ønsker å bruke litt andre aktivitetsnavn, prosessbeskrivelser e.l.

En klargjøring av overordnede sammenhenger mellom dette veiledningsmateriellets tilnærming og andre relevante internkontrollveilederes tilnærming er gitt under «Nyttig/Hva sier andre?»