Uppföljning av Internkontrollplan 2011 för AB Storstockholms lokaltrafik

Transkript

1 1 (1) Trafiknämnden PM TN Handläggare: Niklas Personne Uppföljning av Internkontrollplan för AB Storstockholms lokaltrafik Bakgrund Landstingsfullmäktige fastställde i december 2005 landstingsstyrelsens förslag till intern kontrollpolicy samt reglemente avseende intern kontroll för landstingskoncernen. Landstingsfullmäktige gav i samband med beslutet uppdrag åt bolag och nämnder att upprätta interna kontrollplaner i enlighet med policy och reglemente. Internkontrollplanen Som en del i SL:s styrande dokument ingår bland annat Rutin för Riskhantering och Internkontrollplan. Rutinen beskriver den metod som SL utvecklat för genomförande av verksamhetsövergripande riskanalys vilken bland annat innefattar en riskkartläggning och metod för värdering av risker. Metoden bygger på den så kallade COSO-modellen som rekommenderas av Landstingsstyrelsens förvaltning. Rutin för riskhantering och internkontrollplan är också kopplat till miljöledningssystemet och SL:s certifiering enligt ISO Med utgångspunkt från internkontrollplanen hanteras riskerna löpande under året genom VD-uppdrag i verksamhetsplanen och dess månatliga uppföljning. I samband med årsbokslut ska riskernas hantering enligt internkontrollplanen följas upp och rapporteras till styrelse och nämnd. Anders Lindström Verkställande direktör Niklas Personne CFO Bilaga Uppföljning av Internkontrollplan för AB Storstockholms Lokaltrafik

2 Verksamhetsstyrning och ekonomi 1(14) SL Uppföljning av Intern kontrollplan för AB Storstockholms Lokaltrafik

3 Verksamhetsstyrning och ekonomi 2(14) # Risk Riskvärde Beskrivning av befintliga rutiner och kontrollmoment Förebyggande åtgärder/åtgärdsplan Uppföljning & rapportering sker enligt följande Ansvarig Plan Beslut fattas utifrån: - undermåligt beslutsunderlag orsakat av resursbrist eller korta ledtider - dåligt underbyggda beslut och beslut fattade utifrån bristande prioriteringar och verksamhetsförståelse. 20,0 Förslag till styrelse/nämndbeslut tas fram enligt rutin och ska vara Staben tillhanda enligt tidplan. Ansvarig avdelningschef ansvarar för att förslaget håller fullgod kvalitet. Årsplan för styrelse/nämndärenden samt löpande avstämning med SL:s ledning säkerställer tillräcklig framförhållning för att framställa korrekta underlag. Styrelse/nämndordföranden fastställer föredragningslistan i samråd med vd inför varje styrelse/nämndsammanträde. Vd fastställer föredragningslistan inför varje ledningsgruppsmöte. Förebyggande: Förslag till styrelse/nämndbeslut ska presenteras i SL:s ledningsgrupp i så god tid före beslut så att justeringar kan göras i förslaget utan att tidplanen påverkas. Staben hanterar samtliga handlingar som skickas ut inför styrelse/nämndmöten. Löpande information och avstämning mellan vd och presidiets ledamöter samt trafikroteln förebygger att förslag till styrelse/nämnd inte accepteras. SL:s ledningssystem säkerställer att styrande information tillgängliggörs för samtliga medarbetare. Ledningssystemet säkerställer även informationens riktighet samt aktualitet. Uppföljning och rapportering till styrelsen i samband med årsbokslut. Intern uppföljning och rapportering månatligen via ledningsrapporteringen. Björn Holmberg Den SL-interna årskalendern med styrelse- och ledningsgruppsmöten säkerställer framförhållning gällande ärenden till såväl styrelse/nämnd som ledningsgrupp. Åtgärdsplan: Ledningsgruppens arbetssätt samt årsplanering skall vidareutvecklas under. Ansvarig för detta arbete är stabschefen samt chefen för Verksamhetsstyrning och ekonomi. Standarddagordning för ledningsgruppen är fastställd. Genom rutin för granskning av ärenden som ska beslutas av VD och/eller styrelse beaktas ekonomiska och juridiska aspekter

4 Verksamhetsstyrning och ekonomi 3(14) Uppföljning: Beskrivning av riskhantering under, risk 4.6.1, Björn Holmberg De rutiner och kontrollmoment som beskrivs har i huvudsak följts under året. Planerade förebyggande åtgärder vad gäller hanteringen av förslag till styrelse/nämndbeslut har i huvudsak genomförts. Korta ledtider samt organisationsöversynen har påverkat kvaliteten. Utvecklingen av ledningsgruppens arbetssätt fortsätter. Nya rutiner för hantering av styrelse-, nämnd- och presidieärendens hantering har införts.

5 Verksamhetsstyrning och ekonomi 4(14) # Risk Riskvärde Beskrivning av befintliga rutiner och kontrollmoment Förebyggande åtgärder/åtgärdsplan Uppföljning & rapportering sker enligt följande Ansvarig Plan Brister i dokumentationen (teknisk dokumentation och relationshandlingar) av anläggningen leder till ineffektivitet. 16,3 Där tillståndsprocess ställer krav på dokumentationen finns rutiner. Idag lokala rutiner inom sektionerna eller projekten. Riktlinjer för hantering av teknisk dokumentation samt rollbeskrivning av CAD- och dokumentsamordnare säkerställer kvalitetssäkring av information (ritningar). Förebyggande: Funktionen tekniskt arkiv är centraliserad till Trafikförsörjnings Upphandlingssektion. Ansvaret för innehållet i den tekniska dokumentationen upprätthålls av systemägande affärsförvaltare Funktionen teknisk dokumentation är kravställande gentemot avdelningen Verksamhetsstyrning och ekonomi för de system som används för teknisk dokumentation. Uppföljning och rapportering till styrelsen i samband med årsbokslut. Intern uppföljning och rapportering månatligen via ledningsrapporteringen Ragna Forslund Åtgärdsplan: Roller och processbeskrivningar uppdateras mot ny organisation Se över uppföljning av efterlevnad av rutiner inom område teknisk dokumentation.

6 Verksamhetsstyrning och ekonomi 5(14) Uppföljning: Beskrivning av riskhantering under, risk 4.6.5, Ragna Forslund Arbetet med åtgärder har månadsvis följts upp via den ordinarie ledningsrapporteringen, där utgående balans vid årsskiftet uppvisat ett arbetsläge som avviker från plan (gult). Med avseende på tidigare redovisade brister inom Roslagsbanans signalritningshantering så har följande åtgärder vidtagits: Avstämningsmöten med Transportstyrelsen. Uppdatering av ritningsstatusen i signalkurarna. Påbörjad anpassning av processer och arbetsinstruktioner inom organisationen har intensifierats. Status kvarstående åtgärder: Funktionen för Teknisk dokumentation är sedan organiserad under trafikslagssektion Lokalbanor. Funktionens arbetssätt, rollkort och processer ska justeras. Detta arbete bedöms klart Q

7 Verksamhetsstyrning och ekonomi 6(14) # Risk Riskvärde Beskrivning av befintliga rutiner och kontrollmoment Förebyggande åtgärder/åtgärdsplan Uppföljning & rapportering sker enligt följande Ansvarig Plan Bristande avtalsuppföljning och tillämpning leder till avvikelser mot avtalen samt brister i leveransen med avseende på kostnader och kvalitet 13,5 Avtalsuppföljning i projekt sker i enlighet med SL:s projektmodell Avtalsuppföljning i förvaltning sker enligt avdelningspraxis Trafikavtalen följs upp inom respektive trafikslagssektion/affärsområde Förebyggande: Införandet av SL:s nya organisation är i sig avsedd att betona och stödja SL i beställarrollen. Åtgärdsplan: Vidareutveckling av en strukturerad avtalsuppföljning uppdaterad till den nya organisationen pågår under hösten. Uppföljning och rapportering till styrelsen i samband med årsbokslut. Intern uppföljning och rapportering månatligen via ledningsrapporteringen. Ragna Forslund Utbildningar för nya affärsförvaltare sker löpande under hösten. Uppföljning: Beskrivning av riskhantering under, risk Ragna Forslund Arbetet med åtgärder har månadsvis följts upp via den ordinarie ledningsrapporteringen, där utgående balans vid årsskiftet uppvisat arbetsläge som är enligt plan (grönt). Ett upplägg bestående av primärt tre delar har utarbetats och förankrats i avdelningen Trafikförsörjnings ledning: Avtalsutbildning Rutiner och arbetssätt för enhetlig uppföljning Kundsynpunkter Fortsatt arbete under 2012: Ett trafikslagsgemensamt arbetssätt, rutiner och checklistor upprättas/ uppdateras inom Trafikproduktion. Arbetet beräknas vara klart Q Övriga uppdateringar av arbetssätt inom respektive affär hanteras inom respektive Trafikslagssektion. Arbetet beräknas vara klart under Genomföra intern utbildning rörande SL:s affärsmodell och avtal. Utbildningsinsatsen beräknas vara klar Q

8 Verksamhetsstyrning och ekonomi 7(14) # Risk Riskvärde Beskrivning av befintliga rutiner och kontrollmoment Förebyggande åtgärder/åtgärdsplan Uppföljning & rapportering sker enligt följande Ansvarig Plan SL:s risker inom Informationssäkerhetsoch ITsäkerhetsområdet 12 SL:s Information och IT-system skyddas genom tillräckliga säkerhetshjälpmedel och tekniska mekanismer enligt SL:s styrande dokument Riktlinjer för informationssäkerhet. Strategisk utveckling/itutvecklings Informationssäkerhetsfunktion utför kontinuerligt interna granskningar och kontroller inom hela SL. Dessa säkerhetsgranskningar utförs genom en definierad och fastställd krav- och riskhanteringsmetod/ -process (Complianceprocessen) samt vedertagna tekniska ITsäkerhetstester sk. penetrationstester Förebyggande: För att förebyggande uppnå rätt/tillräcklig säkerhetsnivå vid anskaffning, upphandling och utveckling av IT-system genomförs ett strukturerat säkerhetskravarbete i dessa faser/processer. Åtgärdsplan: SL:s tidigare framkomna risker ska undersökas och värderas utifrån verksamhetens riskpåverkan. Uppföljning och rapportering till styrelsen i samband med årsbokslut. Intern uppföljning och rapportering månatligen via ledningsrapporteringen Jens Plambeck Strategisk utveckling/itutvecklings Informationssäkerhetsfunktion genomför dessa kontrolluppgifter baserat på egna definierade, strukturerade och fastställda kontrollpunkter

9 Verksamhetsstyrning och ekonomi 8(14) Uppföljning: Beskrivning av riskhantering under, risk Jens Plambeck För intern kontroll och riskhantering inom området informations- och IT-säkerhet används bl.a. en process för informationssäkerhet kallad Complianceprocessen, vilken innefattar säkerhetsklassning, riskanalyser och åtgärdsanalyser. Här ges några exempel på användningsområden: Vid anskaffning av IT-system sker IT-säkerhetskravfångst samt utvärdering av IT-säkerheten hos påtänkta leverantörer i samarbete med beställaren enligt Compliance-processen. Vid överlämning av IT-system till IT-drift och -produktion efter anskaffning och införande genomförs granskningar och tester av IT-säkerhetsåtgärder som leverantören enligt avtal har förbundit sig att införa eller åtgärda. I drift och produktionsmiljöer sker återkommande både riktade och automatiska granskningar och tester (s.k. penetrationstester). Under har SL infört en återkommande IT-säkerhetsmätning (sårbarhetsskanning) i IT-verksamheten, som var tredje månad mäter ITsäkerhetsstatus i SL:s servrar och IT-arbetsplatser. Resultatet förmedlas till berörda systemägare och förvaltare. Därav föranledda åtgärder följs upp månadsvis. Under har SL genomfört flera åtgärder för att minimera risk samt infört flera säkerhetshöjande åtgärder. Exempel på detta är: Ett antal IT-säkerhetsgranskningar på utpekade IT-system och på IT-infrastruktur. Ett antal undersökningar med hjälp av SL:s webbaserade självdeklaration för IT-säkerhet (Compliance Portal). Införande av ett elektroniskt webbaserat systemstöd för kontrollpunkter för IT-säkerhet med mer än 200 kontrollpunkter för IT-säkerhet som stöd för SL-verksamheten vid anskaffning, införande, drift och förvaltning av IT-system. Införande av ett nytt webbfilter (Websense) för internetanvändning inom SL:s interna nät vilket bl.a. förbättrar skyddet mot skadlig kod. Det stoppar av SL förbjudna webbsidor och varnar användaren för olämpliga webbsidor.

10 Verksamhetsstyrning och ekonomi 9(14) Hanterandet av regler, styrdokument, intern kontroll och granskning av IT-risker inom informationssäkerhetsområdet kommer att förbättras under 2012, t.ex. genom införande av elektronisk ärendehantering för att hantera sårbarheter mot drifts- och förvaltningsorganisationen. Det ankommer på IT-drifts- och IT-förvaltningsorganisationen att i den operativa verksamheten utföra IT-säkerhetsskyddet, d.v.s. i praktiken arbetar med riskreducerande och förebyggande åtgärder. Inom denna verksamhet finns följande förbättringsmöjligheter inom IT- och säkerhetsområdet: IT-drift och -förvaltning saknar en IT-säkerhetsresurs. Rutiner för rapportering av säkerhetsincidenter och hantering av incidenter behöver förbättras. Praktiska tester av IT-avbrottshantering och förebyggande planeringsarbete behöver införas. Säker e-posthantering behöver införas.

11 Verksamhetsstyrning och ekonomi 10(14) # Risk Riskvärde Beskrivning av befintliga rutiner och kontrollmoment Förebyggande åtgärder/åtgärdsplan Uppföljning & rapportering sker enligt följande Ansvarig Plan 6.5 Brister i leverans till kund leder till förtroendeskada (trafikstörningar, bristande standard på anläggningar, utslagen trafikinformation) 11,7 Rutiner för oplanerade driftstörningar i trafiken, tex. störningsinformation, stopp i trafiken Förebyggande: Driftledningscentralen är sammanhållande för samtliga åtgärdsresurser samt framställning av felstatistik. Alternativa och fastställda omloppsplaner utarbetas av respektive entreprenör Uppföljning och rapportering till styrelsen i samband med årsbokslut. Intern uppföljning och rapportering månatligen via ledningsrapporteringen Ragna Forslund Inom den spårbundna trafiken (pendeltåg undantagen) har samordningsansvaret för snöröjning överförts till trafikentreprenören Åtgärdsplan: Vidareutveckling av en strukturerad uppföljning av statistik över fel, uppdaterad till den nya organisationen, pågår under hösten. Med fortsatt stora problem med infrastrukturen inom pendeltågen fortgår en kontinuerlig dialog med Trafikverkets ledning och med regionledningen. Kontinuerlig förbättring av störningsinformation vid akuta störningar pågår inom respektive trafikslagssektion. Arbetet sammanhålls genom TF:s team för trafikinformation

12 Verksamhetsstyrning och ekonomi 11(14) Uppföljning: Beskrivning av riskhantering under, risk 6.5 Ragna Forslund Arbetet med åtgärder har månadsvis följts upp via den ordinarie ledningsrapporteringen, där utgående balans vid årsskiftet uppvisat ett arbetsläge enligt plan (grönt). Ärendehanteringssystemet för uppföljning av driftfel inom SL infrastruktur har uppdaterats med SL:s nya organisation. Det är nu möjligt att producera sammanställd statistik grupperad på trafikslag och förvaltningsområde. Dialogen med Trafikverket angående infrastrukturen för pendeltågstrafiken har förstärkts och intensifierats. I samarbete med Trafikverket har prioritering gjorts i form av fokusområden med aktiviteter på kort sikt för att förbättra infrastrukturen. En styrgrupp för planerade förbättringsinitiativ har konstituerats. Ett antal utbildningsinsatser för att samordna satsningar inom trafikinformationen och själva trafikinformationen har genomförts med samtliga inblandade entreprenörer digitala skyltar har installerats på SL:s busshållplatser under. Totalt finns nu 1900 skyltar installerade i systemet. Nu finns digital skylt på hållplatser med fler än 120 st påstigande per dag. Projektet är i överlämnandefas till förvaltning. Inga skyltar finns monterade i Solna stad på grund av annat ägargränssnitt på väderskydd. SL planerar för ytterligare förbättringar framöver: Att inom SL infrastruktur tillsammans med respektive affärsområdesansvarig förbättra processen för inrapportering av inträffade infrastrukturfel. Under 2012 kommer en gemensam handlingsplan för SL och STO-tåg att fastställas för en långsiktigt förbättrad infrastruktur. Fortsatt utbildning och samordning av entreprenörernas trafikinformation. Utveckla förbättrat systemstöd och support för installerade IT lösningar.

13 Verksamhetsstyrning och ekonomi 12(14) Risk Riskvärde Beskrivning av befintliga rutiner och kontrollmoment Förebyggande åtgärder/åtgärdsplan Uppföljning & rapportering sker enligt följande Ansvarig Plan 2.1 Brand i trafiken (tåg, tunnel eller annan anläggning) 10,0 Analytisk dimensionering av brandsäkerhetsåtgärder genomförs för samtliga projekt där så är tillämpligt. Åtgärdsplan: Verifiering av dimensionering görs i ett externt forskningsprojekt under hösten Uppföljning och rapportering till styrelsen i samband med årsbokslut. Intern uppföljning och rapportering månatligen via ledningsrapporteringen Gun Eriksson Uppföljning: Beskrivning av riskhantering under, risk 2.1 Gun Eriksson Tillämpning har skett enligt rutin i samband med projektering och byggande av ny spårtunnel på tvärbanan mellan Alvik och Ulvsunda station. Verifieringen är genomförd i projektet enligt plan.

14 Verksamhetsstyrning och ekonomi 13(14) # Risk Riskvärde Beskrivning av befintliga rutiner och kontrollmoment Förebyggande åtgärder/åtgärdsplan Uppföljning & rapportering sker enligt följande Ansvarig Plan 3.8 Risk för förlust av miljöcertifikatet för miljöområdet enligt ISO14001 (oklara roller och gränssnitt inom miljöområdet, resurs- och kompetensbrist i det löpande miljöarbetet) (enligt SL ledningsgrupp ) Miljöledningssystemets innehåll med styrande dokument för ledning och arbetssätt Åtgärdsplan: Rollbeskrivning uppdateras och fastställs i SL:s ledningsgrupp och implementeras Allokering av resurser på avdelningarna Webbaserad breddutbildning inom miljöområdet genomförs för alla anställda. Lärarledd fördjupning genomförs för nyckelgrupper t ex chefer. Uppföljning och rapportering till styrelsen i samband med årsbokslut. Intern uppföljning och rapportering månatligen via ledningsrapporteringen Jens Plambeck Ta fram metodstöd för uppföljning av miljökrav i avtalen

15 Verksamhetsstyrning och ekonomi 14(14) Uppföljning: Beskrivning av riskhantering under, risk 3.8 Jens Plambeck Interna miljörevisioner är genomförda. Extern revision är genomförd januari 2012 och SL är enligt revisorn utan avvikelser. Miljöledningssystemets rollbeskrivningar har uppdaterats och fastställts av SL:s ledningsgrupp. Ett program med handlingsplaner har tagits fram och beslutats av SL:s ledningsgrupp. Programmet innehåller följande handlingsplaner: Framtagande av ett nytt arbetssätt för uppföljning av miljökrav som ställts på entreprenörer. Utse miljökoordinatorer på SL:s samtliga avdelningar. Genomföra miljöutbildning i SL:s nya organisation. Allokering av resurser (ovan nämnda miljökoordinatorer) på avdelningarna pågår. En utbildningsplan har tagits fram och dess olika steg ska vara genomförda senast halvårsskiftet Metodstöd och tillhörande utbildning för uppföljning av trafikavtalen är planerat att tas fram senast halvårsskiftet 2012.