Arbetslöshetskassorna och systematisk internkontroll
|
|
- Andreas Abrahamsson
- för 6 år sedan
- Visningar:
Transkript
1 Dnr 2009/260 MO 2009:15 Arbetslöshetskassorna och systematisk internkontroll IAF:s redovisning av regeringsuppdraget att granska arbetslöshetskassornas system och rutiner för internkontroll IAF:s redovisning av regeringsuppdraget att följa upp 2008 års granskning av arbetslöshetskassornas informationssystem.
2 2
3 Inspektionen för arbetslöshetsförsäkringen, IAF, har i regleringsbrevet 2009 fått uppdraget att granska samtliga arbetslöshetskassors system och rutiner för internkontroll i syfte att säkerställa en rättssäker och effektiv tillämpning av arbetslöshetsförsäkringen. Granskningen ska även omfatta internkontrollen i arbetslöshetskassornas gemensamma informationssystem Äga och OAS. I uppdraget ingår även en uppföljning av det uppdrag IAF hade i regleringsbrevet för 2008 om granskning av arbetslöshetskassornas informationssystem. Denna rapport har utarbetats inom IAF av Petra Capelle, Inger Fernholm (uppdragsledare), Anders Jansson och Stefan Lejerdahl. I sammanställningen av arbetet har även Kerstin Claesson, Rikard Jeneskog och Eva Nordström deltagit. Rapporten är godkänd för publicering. Katrineholm den 1 december 2009 Anne-Marie Qvarfort Generaldirektör Gunilla Wandemo Chef för granskningsenheten Inspektionen för arbetslöshetsförsäkringen, IAF Box Katrineholm Tfn: E-post: iaf@iaf.se 3
4 4
5 Innehåll Sammanfattning Uppdraget Syfte Bakgrund Arbetslöshetskassorna och systematisk internkontroll Internkontroll hos arbetslöshetskassorna i Finland Granskningen av arbetslöshetskassornas informationssystem Avgränsningar och definitioner Avgränsningar i granskningen av arbetslöshetskassornas internkontroll Avgränsningar i uppföljningen av arbetslöshetskassornas informationssystem Metod och genomförande Arbetslöshetskassornas internkontroll Bedömning av graden av internkontroll Arbetslöshetskassornas informationssystem Del Arbetslöshetskassornas internkontroll, resultat av granskningen Kontrollmiljö Riskanalys Internkontrollplan Kontrollåtgärder Information och kommunikation Uppföljning och utvärdering Del Arbetslöshetskassornas informationssystem, redovisning av IAF:s uppföljning Utvecklingsområden inom riskklass Utvecklingsområden inom riskklass Utvecklingsområden inom riskklass Internkontrollen i OAS och Äga Sammanfattande analys Arbetslöshetskassornas grad av systematisk internkontroll Arbetslöshetskassornas informationssystem Slutsatser Avsaknad av systematisk riskanalys kan leda till otillräckliga kontrollåtgärder
6 8.2 Svag internkontroll medför ökad risk för felaktiga utbetalningar Väsentliga risker kvarstår inom informationssystemen IAF:s bedömning IAF:s återkoppling till arbetslöshetskassorna Källförteckning Bilaga 1. Intervjufrågor Bilaga 2. Viktning av intervjufrågor Bilaga 3. Sammanställning av enkät
7 Sammanfattning Idag finns det ingen reglering kring internkontroll som omfattar Sveriges arbetslöshetskassor. I Finland däremot har det nyligen införts en reglering i lag om internkontroll för arbetslöshetskassorna. Motiveringen till införandet är att arbetslöshetskassorna sköter ett offentligt uppdrag och därför måste ha ett ändamålsenligt administrations- och kontrollsystem. I Sverige ställs det idag krav på ett 60-tal statliga myndigheter att ha en fungerande internkontroll. Bland dessa återfinns utbetalande myndigheter såsom Centrala studiestödsnämnden och Försäkringskassan. Kravet på att arbeta med internkontroll regleras främst i förordning (2007:603) om intern styrning och kontroll. Förordningen utgår från COSO-modellen, ett internationellt erkänt ramverk för internkontroll. IAF föreslår att regeringen överväger att införa en ny bestämmelse med krav på internkontroll i lagen (1997:239) om arbetslöshetskassor. Arbetslöshetskassornas informationssystem bör omfattas av regleringen. IAF bedömer att en reglering på området är nödvändig för att stärka att arbetslöshetskassorna med rimlig säkerhet fullgör sitt uppdrag. En reglering skulle tydliggöra ansvaret för arbetslöshetskassornas interna ledning och styrning. En reglering blir också den norm och referensram som är en förutsättning för att IAF:s tillsyn på området ska vara effektiv. IAF har kartlagt samtliga arbetslöshetskassors arbete med internkontroll genom intervjuer med styrelseordförande och kassaföreståndare i respektive arbetslöshetskassa. Intervjuerna genomfördes under våren Fokus har legat på arbetslöshetskassornas systematiska arbete med internkontroll. IAF har funnit att en arbetslöshetskassa arbetar systematiskt med internkontroll. Fyra arbetslöshetskassor har systematisk internkontroll i vissa delar. Resterande 27 arbetslöshetskassor har en låg eller mycket låg grad av systematisk internkontroll. En orsak till att arbetslöshetskassorna inte har en systematisk internkontroll kan vara avsaknaden av reglering och att arbetslöshetskassornas prioriteringar i första hand utgår från reglerade områden. Under perioden oktober september 2009 betalade arbetslöshetskassorna totalt ut ca 17,3 miljarder kronor i arbetslöshetsersättning. Drygt 8 miljarder betalades ut av arbetslöshetskassor med låg eller mycket låg grad av systematisk internkontroll. IAF bedömer att avsaknaden av en systematisk internkontroll, och då 7
8 framför allt avsaknaden av systematisk riskanalys, kan leda till otillräckliga kontrollåtgärder. En svag internkontroll medför också en ökad risk för felaktiga utbetalningar. År 2008 genomförde IAF en granskning av informationssäkerheten i arbetslöshetskassornas informationssystem. IAF identifierade och riskklassificerade 25 utvecklingsområden som arbetslöshetskassorna måste säkerställa. Respektive arbetslöshetskassa anmodades att till IAF lämna en statusrapport för varje område och ange eventuella åtgärder arbetslöshetskassan planerade att vidta och en tidplan för arbetet. Genom enkäter till samtliga arbetslöshetskassor har IAF genomfört en uppföljning av 2008 års granskning av informationssystemen. Enkätsvaren inkom till IAF i september 2009 och visar att 21 av 25 utvecklingsområden inte har säkerställts av alla arbetslöshetskassor. Av dessa tillhör fem områden riskklass 1, vilket innebär mycket kritiskt för effektivitet och uppfyllande av verksamhetsmål. Ett område kan vara säkerställt i en enskild arbetslöshetskassa utan att området som helhet är säkerställt. För det krävs att alla arbetslöshetskassor har säkerställt området. Av 32 arbetslöshetskassor har 30 inte säkerställt alla utvecklingsområden. Utbetalning av arbetslöshetsersättning är en samhällsviktig verksamhet och det är av största vikt att alla utvecklingsområden säkerställs. IAF ser särskilt allvarligt på att utvecklingsområden inom riskklass 1 inte är säkerställda av samtliga arbetslöshetskassor. De slutsatser IAF kommit fram till i tidigare granskning kvarstår. Dessa är att rutiner och kontroller för arbetslöshetskassornas hantering av informationssystemen måste formaliseras och kvalitetssäkras. Det finns väsentliga informationssäkerhetsrisker inom både den övergripande förvaltningen av systemen och inom specifika processer. IAF kommer att lämna en dokumenterad redovisning till varje arbetslöshetskassa där den egna arbetslöshetskassans resultat i granskningen framgår. Redovisningen avser både systematisk internkontroll och arbetslöshetskassans informationssystem. IAF kommer att anmoda arbetslöshetskassorna som inte har säkerställt alla identifierade utvecklingsområden inom informationssystemen att omedelbart vidta åtgärder. 8
9 9
10 1 Uppdraget Inspektionen för arbetslöshetsförsäkringen (IAF) har i regleringsbrevet 2009 fått följande uppdrag: IAF ska granska samtliga arbetslöshetskassors system och rutiner för internkontroll i syfte att säkerställa en rättssäker och effektiv tillämpning av arbetslöshetsförsäkringen. Granskningen ska även omfatta internkontrollen i arbetslöshetskassornas gemensamma informationssystem Äga och OAS. I uppdraget ingår även en uppföljning av det uppdrag IAF hade i regleringsbrevet för 2008 om granskning av arbetslöshetskassornas informationssystem. Uppdragen ska redovisas senast den 1 december Denna rapport utgör IAF:s redovisning av uppdraget. I rapportens första del redogör IAF för granskningen av arbetslöshetskassornas internkontroll. I den andra delen redogörs för uppföljningen av 2008 års granskning av säkerheten i arbetslöshetskassornas informationssystem. IAF avslutar rapporten med en analys utifrån uppdragets båda delar. 1.1 Syfte Rapporten syftar till att utifrån regeringsuppdraget: granska samtliga 32 arbetslöshetskassors system och rutiner för internkontroll och följa upp 2008 år granskning av samtliga arbetslöshetskassornas informationssäkerhet. Därutöver är IAF:s ambition att genom granskningen: öka arbetslöshetskassornas medvetenhet, kunskap och insikt om systematisk internkontroll och bedöma om det behövs reglering på området. 2 Bakgrund 2.1 Arbetslöshetskassorna och systematisk internkontroll Hos myndigheter och organisationer som förfogar över allmänna medel är en god internkontroll en förutsättning för att bland annat säkerställa att medborgarnas skattepengar används effektivt. För arbetslöshetskassornas del bidrar en systematisk internkontroll till transparens i försäkringssystemet och 10
11 till att upprätthålla legitimiteten för den verksamhet som arbetslöshetskassorna bedriver. För statliga myndigheter regleras kraven på att arbeta med intern styrning och kontroll framför allt i två förordningar; myndighetsförordningen (2007:515) och förordningen (2007:603) om intern styrning och kontroll. Myndighetsförordningen gäller för alla förvaltningsmyndigheter under regeringen. Förordningen om intern styrning och kontroll gäller för cirka 60 förvaltningsmyndigheter som är skyldiga att följa internrevisionsförordningen (2006:1228), bland annat Försäkringskassan och Centrala studiestödsnämnden. I myndighetsförordningen anges att det är ledningens ansvar att säkerställa att det finns en intern styrning och kontroll som fungerar på ett betryggande sätt. Förordningen om intern styrning och kontroll ställer krav på formerna för den interna kontrollen. Enligt den senare ska internkontroll vara en integrerad process i myndighetens verksamhet. Grundtanken är att all verksamhet ska planeras, styras och följas upp med beaktande av de grundläggande momenten riskanalys, kontrollåtgärder, uppföljning och dokumentation 1. Förordningen om intern styrning och kontroll utgår från COSO 2 som är ett internationellt erkänt ramverk för internkontroll. COSO lägger dessutom till ett femte moment -- kontrollmiljö. En utförligare beskrivning av de olika momenten återfinns i avsnitt Arbetslöshetskassorna är privaträttsliga organisationer och deras verksamhet regleras i lagen (1997:239) om arbetslöshetskassor. Arbetslöshetskassorna har till uppgift att besluta om och betala ut arbetslöshetsersättning till enskilda i enlighet med lagen (1997:238) om arbetslöshetsförsäkring. I deras verksamhet ingår uppgifter som innefattar myndighetsutövning 3. Arbetslöshetskassorna är inte myndigheter och lyder inte under vare sig myndighetsförordningen eller förordningen om intern styrning och kontroll. Lagen om arbetslöshetskassor anger inte heller några krav 1 Ekonomistyrningsverket, ESV 2008:13, Handledning -- intern styrning och kontroll, sid Committee of Sponsoring Organizations of the Treadway Commission 3 Justitieombudsmannen (JO) gjorde i beslut den 27 december 2000 bedömningen att handläggning och beslutsfattande i ärenden om arbetslöshetsersättning och medlemskap i en arbetslöshetskassa innefattar myndighetsutövning (dnr ). 11
12 avseende internkontroll. Arbetslöshetskassorna förfogar över allmänna medel och ur ett medborgarperspektiv är det en förutsättning att de har ordning och reda i sina verksamheter. Men ordning och reda är inte tillräckligt för att uppnå en systematisk internkontroll. En systematisk internkontroll är en viktig förutsättning för att säkerställa både att man betalar ut rätt ersättning och har en rättssäker hantering av arbetslöshetsförsäkringen. IAF kan i sammanhanget även nämna det pågående uppdrag om internkontroll som Ekonomistyrningsverket (ESV) fått av regeringen. Uppdraget går ut på att utveckla en metod för att utvärdera den kontroll som sker av utbetalningar i välfärdssystemen. Syftet med detta kontrollutvärderingsinstrument är att stödja myndigheternas och regeringens styrning. Detta ska ske bland annat genom att det ger möjlighet att följa myndigheternas insatser med att minska felaktiga utbetalningar och höja standarden på kontrollverksamheten. ESV föreslår i sin delrapport till regeringen 4 att bland annat arbetslöshetskassornas utbetalning av arbetslöshetsersättning ska omfattas av denna framtida kontroll. ESV föreslår också att en pilotstudie genomförs för att utvärdera om kontrollutvärderingsinstrumentet når sitt syfte. ESV föreslår att IAF ska få i uppdrag att välja ut ett antal arbetslöshetskassor som ska ingå i pilotstudien. Resultatet av pilotstudien kommer ESV att redovisa i sin slutrapport till regeringen den 1 april Internkontroll hos arbetslöshetskassorna i Finland I Finland har riksdagen från den 1 januari 2009 infört bestämmelser om internkontroll och riskhanteringssystem i den finländska lagen om arbetslöshetskassor (603/1984). I en ny paragraf, 12 a, anges följande. Arbetslöshetskassans styrelse ska se till att arbetslöshetskassan med beaktande av arten och omfattningen av kassans verksamhet har tillräcklig intern kontroll och tillräckliga riskhanteringssystem. Finansinspektionen meddelar närmare föreskrifter om hur den interna kontrollen och riskhanteringen ska ordnas. I den finländska regeringens proposition (RP 170/2008), inför införandet av paragrafen har det uttalats att det är 4 Kontrollutvärderingsinstrument, delrapport, Ekonomistyrningsverket, ESV, 2009:33. 12
13 motiverat med bestämmelser på lagnivå avseende intern kontroll och riskhantering när det gäller arbetslöshetskassorna, eftersom de sköter ett offentligt uppdrag och måste då ha ett ändamålsenligt administrations- och kontrollsystem. I propositionen har det även uttalats att det är arbetslöshetskassans styrelse som ska ansvara för att det finns tillräcklig internkontroll och tillräckliga riskhanteringssystem, då det är arbetslöshetskassans styrelse som också i sista hand ansvarar för arbetslöshetskassans hela verksamhet. I propositionen har det vidare uttalats följande. Kontrollen ska omfatta arbetslöshetskassans verksamhet i sin helhet oberoende av exempelvis vilken förmån som verkställs. Med intern kontroll avses bland annat - all internkontroll i en arbetslöshetskassa som gäller verkställandet av förmåner, - alla interna anvisningar, - personalens yrkeskompetens, - organisationens funktionsduglighet och uppgiftsfördelningen inom organisationen, - uppföljning av de uppgifter som hör till arbetslöshetskassan som läggs ut på entreprenad och - övervakning av dessa uppgifter. En effektiv internkontroll förutsätter att de betydande risker, både yttre och inre, som kan ha en skadlig inverkan på skötseln av arbetslöshetskassans lagstadgade uppgifter kontinuerligt identifieras och bedöms. Med riskhantering som en del av den interna kontrollen avses identifiering, bedömning, begränsning och övervakning av risker som ansluter sig till verksamheten. 2.2 Granskningen av arbetslöshetskassornas informationssystem 2008 IAF hade i sitt regleringsbrev för 2008 uppdraget att granska arbetslöshetskassornas informationssystem i syfte att säkerställa att systemen gav korrekt och säkert stöd i beslut om arbetslöshetsersättning. IAF redovisade uppdraget till regeringen den 1 november Granskningen identifierade följande övergripande områden inom arbetslöshetskassornas IT-verksamhet som måste säkerställas: 5 IAF:s dnr 2008/789 13
14 Systemägarskapet för OAS 6, Informationssäkerhetsansvar hos arbetslöshetskassorna, Systemsäkerhetsanalyser, Instruktioner för hantering av personuppgiftslagen (PuL). Dessutom specificerades 25 olika utvecklingsområden vilka framgår i avsnitt 6. Respektive utvecklingsområde riskklassificerades enligt följande. Antal utvecklingsområden anges inom parentes. 1. Mycket kritiskt för effektivitet och uppfyllande av verksamhetsmål på kort och lång sikt (6) 2. Kritiskt för en god internkontroll, effektivitet och tillförlitlighet i ITverksamheten (16) 3. Väsentligt för en god internkontroll, effektivitet och tillförlitlighet i ITverksamheten (3) Resultaten från granskningen föranledde IAF att från arbetslöshetskassorna begära en aktuell statusrapport över respektive utvecklingsområde. I denna fick varje arbetslöshetskassa även redovisa vilka åtgärder, inklusive tidplan, den ämnade vidta för att kvalitetssäkra informationssäkerheten i sina IT-system. Arbetslöshetskassorna lämnade sina statusrapporter till IAF i december Avgränsningar och definitioner IAF utgår i granskningen från den definition av internkontroll som anges i förordningen om intern styrning och kontroll och ESV:s handledning gällande intern styrning och kontroll. Där definieras internkontroll som den process som ska säkerställa att man med rimlig säkerhet fullgör sitt uppdrag. I rapporten hänvisas till arbetslöshetskassornas ledning. Med detta avser IAF styrelsens ordförande och kassaföreståndare i respektive arbetslöshetskassa. 6 Arbetslöshetskassornas besluts- och utbetalningssystem. 14
15 3.1 Avgränsningar i granskningen av arbetslöshetskassornas internkontroll Granskningen av arbetslöshetskassornas internkontroll omfattar inte deras arbete med ekonomihantering, återkrav 7 eller systemteknik. Vidare omfattar granskningen inte arbetslöshetskassornas fysiska miljö, till exempel lås, brandskydd och förvaring. Dokumentstudierna har IAF avgränsat till att granska arbetslöshetskassornas dokumentförteckningar (se vidare under metodavsnittet) samt i förekommande fall upprättade internkontrollplaner och dokumenterade riskanalyser. Övriga dokument som framgår av arbetslöshetskassornas dokumentförteckningar har IAF inte granskat. 3.2 Avgränsningar i uppföljningen av arbetslöshetskassornas informationssystem Uppföljningen av 2008 års granskning av arbetslöshetskassornas informationssystem har inte innefattat någon ny granskning av dokumentation, revisionsbevis eller av arbetslöshetskassornas informationssystem. Arbetslöshetskassorna har under ledning av Arbetslöshetskassornas Samorganisation, SO, arbetat med att implementera Informationssäkerhetshandbok för a-kassorna i sina verksamheter. Arbetet har benämnts ISAK-projektet och bedrivits under perioden november mars Arbetet är en direkt följd av IAF:s granskning av arbetslöshetskassornas informationssäkerhet Under intervjuerna med arbetslöshetskassornas ledningar har flera nämnt riskanalyser och kontrollåtgärder som de vidtagit inom ramen för ISAK-projektet. IAF:s uppföljning av arbetslöshetskassornas informationssäkerhet innefattar inte arbetslöshetskassornas och SO:s arbete inom ISAKprojektet. 4 Metod och genomförande De två delarna i regeringsuppdraget har granskats med två olika metoder; intervjuer när det gäller arbetslöshetskassornas internkontroll och enkäter när det 7 Arbetslöshetskassornas hantering av återkrav redovisas i IAF:s rapport till regeringen; Återkrav av felaktigt utbetald ersättning och återbetalning av statsbidrag, IAF 2009:11. 15
16 gäller uppföljning av informationssystemen. Vissa delar av granskningen presenteras kvantitativt för att åskådliggöra resultatet samlat för alla arbetslöshetskassor. Under intervjuerna om internkontroll ställde IAF även några frågor som berör informationssystemen. Dessa redovisas i del 2 av rapporten. 4.1 Arbetslöshetskassornas internkontroll IAF har under perioden april -- juni 2009 intervjuat ledningen för respektive arbetslöshetskassa. Intervjufrågorna framgår i bilaga 1. Inför intervjuerna har ledningen fått information om vilka områden och vilka övergripande frågeställningar som granskningen berör. IAF har även tillsammans med ESV haft ett seminarium rörande internkontroll och den kommande granskningen för arbetslöshetskassorna. Samtliga arbetslöshetskassor deltog och hade tillfälle att ställa frågor och ge kommentarer. Efter genomförda intervjuer har arbetslöshetskassorna fått möjlighet att faktagranska IAF:s dokumentation av intervjuerna. Vid intervjuerna har arbetslöshetskassornas ledningar varit representerade genom styrelseordförande och kassaföreståndare 8. Styrelseordföranden företräder styrelsens övergripande och strategiska ansvar för arbetslöshetskassans verksamhet. Kassaföreståndaren har det operativa ansvaret för arbetslöshetskassan och leder det dagliga arbetet. IAF har granskat arbetslöshetskassornas internkontrollplaner och riskanalyser då sådan dokumentation har funnits. IAF har i samband med intervjuerna begärt in en dokumentförteckning från respektive arbetslöshetskassa. I förteckningen har arbetslöshetskassorna fått ange de dokument som de ansett som relevanta utifrån de områden intervjun behandlat. 8 Några arbetslöshetskassor har på grund av förhinder för styrelseordföranden i stället representerats av styrelsens vice ordförande. Några arbetslöshetskassor har valt att ta med ytterligare en person för att representera arbetslöshetskassan. Det har till exempel skett då kassaföreståndaren varit nytillträdd eller då arbetslöshetskassan vid tillfället för intervjun haft ett pågående utvecklingsarbete med en fristående konsult anlitad. 16
17 4.1.1 Bedömning av graden av internkontroll Som tidigare nämnts tar granskningen sin utgångspunkt i förordningen om intern styrning och kontroll samt COSO:s fem moment för internkontroll. Momenten är; Kontrollmiljö -- ledningens övergripande inställning till medvetenhet om och åtgärder rörande system för intern kontroll och deras betydelse för organisationen. Förmedlar disciplin, struktur och anger tonen för verksamheten. Riskanalys -- bedömning och analys av risker för att målen som satts upp för verksamheten inte kan uppnås samt av generella hot mot verksamheten. Kontrollåtgärder -- ska motverka effekterna av riskerna. De ska utformas i förhållande till den riskanalys som gjorts och vara inbyggda i såväl organisation som rutiner. Information och kommunikation -- säkerställa att informationsflödet fungerar inom organisationen så att rätt information går ut i rätt tid till alla nivåer. Detta gäller även de tekniska informationssystemen. Uppföljning och utvärdering -- systemet för internkontroll måste följas upp för att säkerställa att det fungerar på avsett vis. Utvärderingen ska resultera i eventuella förslag till förbättringar. IAF har i bedömningen av arbetslöshetskassornas internkontroll i huvudsak utgått från de svar ledningarna för arbetslöshetskassorna lämnat vid intervjuerna. Tonvikten har lagts på de tre första momenten: kontrollmiljö, riskanalys och kontrollåtgärder Anledningen till att IAF valt att utgå från dessa är att de är grundläggande moment i ett systematiskt internkontrollarbete. För att bedöma en arbetslöshetskassas grad av internkontroll har IAF viktat intervjufrågorna inom varje moment och värderat arbetslöshetskassornas svar (bilaga 2). Arbetslöshetskassor som på ett systematiskt sätt arbetar med interkontroll har värderats högst. I bedömningen har IAF också valt att sätta ett högre värde 17
18 på de arbetslöshetskassor som har påbörjat eller planerar att påbörja 9 ett systematiskt arbete med internkontroll. Arbetslöshetskassornas arbete med systematisk internkontroll har graderats i fyra nivåer: Systematisk internkontroll Systematisk internkontroll i vissa delar Låg grad av systematisk internkontroll Mycket låg grad av systematisk internkontroll Bedömningen utgår från systematiken i arbetslöshetskassornas arbete med internkontroll. En arbetslöshetskassa som har god ordning och reda i sitt arbete har inte per automatik ett systematiskt arbete med internkontroll. En god ordning och reda är till exempel ingen garanti för att arbetslöshetskassan identifierat alla risker för verksamheten och vidtagit relevanta kontrollåtgärder. Samtidigt kan arbetslöshetskassor som har god ordning och reda, men saknar en systematisk internkontroll, med relativt begränsade åtgärder åstadkomma ett systematiskt arbete med internkontroll. I granskningen har IAF fokuserat på att ge en övergripande bild av hur arbetslöshetskassorna idag arbetar med internkontroll och om arbetet innehåller de grundläggande momenten, till exempel riskanalys. 4.2 Arbetslöshetskassornas informationssystem För att följa upp arbetslöshetskassornas fortsatta arbete med informationssäkerheten, skickade IAF i juni 2009 ut en enkät till alla arbetslöshetskassor. Enkäten innehöll frågor utifrån de utvecklingsområden som identifierats och riskklassificerats i 2008 års granskning samt de statusrapporter arbetslöshetskassorna därefter lämnat till IAF. Arbetslöshetskassornas svar på enkäten inkom till IAF i september. Svaren var då förankrade i respektive arbetslöshetskassas ledning. I avsnitt 6 framgår respektive utvecklingsområde och riskklassificering. En sammanställning av enkäten och arbetslöshetskassornas svar redovisas i bilaga 3. 9 Aktiviteten ska ha varit tidsatt för att anses som planerad. 18
19 Del 1 5 Arbetslöshetskassornas internkontroll, resultat av granskningen IAF har under våren 2009 intervjuat företrädare för ledningen vid alla 32 arbetslöshetskassor. I denna del redovisar IAF en sammanställning av arbetslöshetskassornas svar. 5.1 Kontrollmiljö Ledningen för samtliga arbetslöshetskassor har vid intervjun fått redogöra för verksamhetens mål. Arbetslöshetskassorna uppger att målen är förmedlade och väl kända i organisationen. Det finns dock en variation i med vilken systematik arbetslöshetskassorna förmedlar målen till medarbetarna. Vissa har en rutin för detta medan andra förmedlar målen på förekommen anledning. 22 arbetslöshetskassor saknar rutiner för att uppdatera organisationens styrdokument. Dokumenten uppdateras istället vid behov eller på förekommen anledning. Tio arbetslöshetskassor saknar rutiner för att förmedla riktlinjer och rutiner till medarbetarna. IAF har frågat ledningen för arbetslöshetskassorna om och i så fall hur de arbetar med värdegrunder. IAF noterar att det finns en stor variation mellan arbetslöshetskassorna vad gäller i vilken utsträckning man arbetar med värdegrundsfrågor. 5.2 Riskanalys En väl fungerande och systematisk internkontroll förutsätter ett aktivt arbete med riskanalys. Ledningen för respektive arbetslöshetskassa har fått redogöra för hur och i vilken utsträckning de arbetar med att identifiera och hantera risker. Av intervjuerna framgår att 31 arbetslöshetskassor inte har genomfört en riskanalys. Av dessa har tio arbetslöshetskassor antingen påbörjat eller planerat ett arbete med riskanalys. De arbetslöshetskassor som inte har något systematiskt arbete med riskanalys, uppger att de i huvudsak identifierar och värderar risker genom det löpande arbetet eller på förekommen anledning. Av dessa har 12 arbetslöshetskassor dokumenterat riskerna på annat sätt än i ett särskilt riskdokument, vanligtvis i olika typer av mötesprotokoll. Dock uppger ledningarna 19
20 för 30 arbetslöshetskassor att relevanta risker är kända bland medarbetarna i respektive organisation. För att internkontrollen ska fungera på ett tillfredställande sätt ska den vara en integrerad process i verksamheten. Medarbetare ska ha möjlighet att diskutera de risker och utvecklingsområden som personalen identifierar i sitt dagliga arbete. Vid intervjuerna uppgav ledningen vid 24 arbetslöshetskassor att man förde sådana samtal på medarbetarnivå. Det finns en påtaglig enhetlighet i de risker som arbetslöshetskassorna har identifierat. Av tabellen nedan framgår de vanligaste riskerna som arbetslöshetskassorna har identifierat. Tabell 1: De vanligaste riskerna arbetslöshetskassorna identifierat. Risk Antal arbetslöshetskassor 1 Ökad arbetslöshet 20 2 Datahaveri 16 3 Kort framförhållning vid regelförändringar 14 4 Personalförsörjning 13 5 Sjukdomsfall bland medarbetarna 9 Av de vanligaste riskerna är ökad arbetslöshet och kort framförhållning vid regelförändringar sådana som arbetslöshetskassorna inte kan undvika. Dock måste de ha beredskap för att hantera dem genom olika kontrollåtgärder. Av riskerna framgår också att arbetslöshetskassornas verksamhet är mycket känslig för störningar inom systemstöd och personal. Det är få arbetslöshetskassor som vid intervjuerna nämner risker relaterade till det interna arbetet. Fem arbetslöshetskassor nämner risken att den mänskliga faktorn kan förorsaka felaktiga beslut. Fyra arbetslöshetskassor framhåller att regelverket är så komplext att handläggare kan fatta felaktiga beslut. Det är bara en arbetslöshetskassa som uppger att man identifierat risken att medarbetare betalar ut pengar till sig själv eller närstående. En arbetslöshetskassa har identifierat en risk med att en enskild medlem lämnar felaktiga underlag i sin ansökan om 20
21 arbetslöshetsersättning. Endast två arbetslöshetskassor har identifierat felaktigt programmerade IT-system som en risk, trots att arbetslöshetskassornas verksamhet är beroende av systemen Internkontrollplan IAF har vid intervjuerna begärt att få ta del av arbetslöshetskassornas eventuella internkontrollplaner och genomförda riskanalyser. Med internkontrollplan avses i detta sammanhang ett dokument som beskriver hur arbetslöshetskassan ska arbeta med de moment som ingår i ett systematiskt arbete med internkontroll. Endast en arbetslöshetskassa har en upprättad internkontrollplan. Av övriga 31 arbetslöshetskassor har två påbörjat arbetet med att upprätta en internkontrollplan. 5.3 Kontrollåtgärder Utifrån en genomförd riskanalys ska lämpliga kontrollåtgärder vidtas. Antalet vidtagna kontrollåtgärder på arbetslöshetskassorna varierar. Kontrollåtgärderna har i regel inte vidtagits utifrån ett systematiskt arbete med riskanalyser. Korrekta beslut innebär att risken för felaktiga utbetalningar minimeras. En av förutsättningarna för att arbetslöshetskassornas handläggare ska kunna fatta korrekta beslut är att de har ett bra metodstöd att tillgå. Med metodstöd avses här bland annat lathundar, mallar, försäkringsexperter och handledare. Vid intervjuerna uppgav 31 arbetslöshetskassor att de har någon form av metodstöd för handläggning. Arbetslöshetskassornas metodstöd varierar i viss utsträckning utifrån organisationens storlek, struktur och lokalisering. På arbetslöshetskassor som är organisatoriskt stora och/eller har flera kontor, har handläggarna större möjligheter till stöd från olika expertfunktioner. Vid organisatoriskt mindre arbetslöshetskassor är handläggarna ofta beroende av en enda persons nyckelkompetens. Andra frågor där arbetslöshetskassorna skiljer sig åt är hur de utbildar nyanställda handläggare och i vilken utsträckning de har egna arbetsinstruktioner. De flesta arbetslöshetskassor uppger att de på olika sätt får stöd och vägledning genom SO Arbetslöshetskassornas Samorganisation 21
22 Vid intervjuerna belyste IAF frågan om arbetslöshetskassornas arbete med att förebygga och upptäcka interna oegentligheter, till exempel uppsåtligt felaktiga utbetalningar. Endast ledningen för en arbetslöshetskassa uppgav under intervjun att de har en systematisk rutin för att kontrollera att anställda inte betalar ut ersättning till sig själva. Flera arbetslöshetskassor uppgav också att de saknar en dokumenterad policy kring jäv för handläggare och/eller styrelse. IAF noterade att flera arbetslöshetskassor vid intervjuerna tog till sig dessa frågor och att de avser att arbeta mer med att motverka interna oegentligheter. 5.4 Information och kommunikation Vid intervjuerna har IAF översiktligt berört frågeställningar om hur arbetslöshetskassans ledning arbetar med att säkerställa att informationsflödet fungerar inom organisationen. Samtliga arbetslöshetskassor har någon form av organiserat informationsflöde. Däremot varierar det hur arbetslöshetskassorna har valt att arbeta med kommunikation och information. Det beror i hög utsträckning på organisationens storlek, struktur och om de finns på flera orter. IAF har valt att inte fördjupa sig i detta område men kan ändå se en tendens till att stora organisationer har utvecklat mer strukturerade informationskanaler medan mindre arbetslöshetskassor oftare förlitar sig på att de har korta informationsvägar. Genomgående för samtliga intervjuer var att ledningen för arbetslöshetskassorna uppgav att kommunikationen mellan kassaföreståndaren och styrelsens ordförande fungerar bra. 5.5 Uppföljning och utvärdering Enligt förordningen om intern styrning och kontroll ska en uppföljning av det systematiska arbetet med internkontroll genomföras, för att bedöma om den fungerar på ett betryggande sätt. I det regelverk som gäller för arbetslöshetskassorna finns idag inget som ställer krav på att de ska arbeta systematiskt med internkontroll. Av granskningen framgår också att endast en arbetslöshetskassa har ett systematiskt arbete med internkontroll. Därför har frågor om arbetslöshetskassornas uppföljning av processen inte varit meningsfulla. 22
23 Den uppföljning som istället kom att belysas genom intervjuerna var hur arbetslöshetskassorna följer upp sina verksamhetsmål. Samtliga arbetslöshetskassor följer på något sätt upp sin verksamhet. Uppföljningen av verksamhetsmålen sker dock på olika sätt. Graden av systematik i denna uppföljning varierar också mellan arbetslöshetskassorna. De mål arbetslöshetskassorna fokuserar på i sin uppföljning är ofta organisationens servicenivå gentemot medlemmarna. Många arbetslöshetskassor uppger att de regelbundet följer upp svarstider på telefon och handläggningstider för olika typer av ärenden. Däremot är det endast nio arbetslöshetskassor som systematiskt genomför intern granskning av ärenden för att säkerställa en korrekt tillämpning av arbetslöshetsförsäkringen. 23
24 Del 2 6 Arbetslöshetskassornas informationssystem, redovisning av IAF:s uppföljning Arbetslöshetskassornas svar på IAF:s enkät har sammanställts och redovisas i bilaga 3. Av redovisningen framgår de 25 utvecklingsområdena, vilka frågor som ställts, respektive områdes riskklassificering, hur arbetslöshetskassorna svarat samt om området är säkerställt i den enskilda arbetslöshetskassan eller inte. Ett utvecklingsområde är generellt säkerställt först då alla arbetslöshetskassor uppger området som säkerställt och att det är förankrat i respektive arbetslöshetskassas ledning. IAF:s uppföljning visar att 21 utvecklingsområden återstår för arbetslöshetskassorna att säkerställa. Inom parentes framgår det antal arbetslöshetskassor som inte har säkerställt området. Riskklass 1 -- Mycket kritiskt o Kontinuitetsplan (21) o Informationssäkerhetskrav i driftavtal (7) o Ändringshanteringsrutin (6) o Systemägarskap OAS (6) o Gruppkonton (4) Riskklass 2 -- Kritiskt o Systemsäkerhetsanalys OAS (32) o Driftdokumentation OAS (22) o Inga personuppgifter i testmiljö (19) o Lösenordsregler (13) o Dualitet för intern kontroll (12) o Dokumentation av tester i medlemssystem (11) o Driftavtal medlemssystem (7) o Godkännande av tester i medlemssystem (7) o Hantering av personuppgiftslagen, PuL (6) o Återläsningstest (6) o Behörighetskontroll (5) o Behörighetsrutin (5) o Begränsat antal användarkonton (1) Riskklass 3 -- Väsentligt o Loggranskning (23) o Test av programuppdateringar i OAS (9) o Patchhantering (6) 24
25 Arbetslöshetskassorna har endast säkerställt fyra av de 25 angivna utvecklingsområdena: Informationssäkerhetsansvar (riskklass 1) Myndighetsutövning i medlemssystem (riskklass 2) Inaktuella användarkonton (riskklass 2) och Användande av larmlista (riskklass 2). Utifrån de iakttagelser IAF gjorde i granskningen 2008, har arbetslöshetskassorna vidtagit ett antal åtgärder. Det framgår dock av IAF:s sammanställning att arbetslöshetskassorna kommit olika långt i sitt arbete och att ett antal områden kvarstår att säkerställa. 6.1 Utvecklingsområden inom riskklass 1 Diagram 3 visar kvarstående utvecklingsområden inom riskklass 1 samt det antal arbetslöshetskassor som inte har säkerställt respektive område. Diagram 3: Utvecklingsområden inom riskklass 1 och antal arbetslöshetskassor inom respektive område Kontinuitetsplan 21 Informationssäkerhetskrav i driftavtal 7 Ändringshanteringsrutin 6 Systemägarskap OAS 6 Gruppkonton Antal arbetslöshetskassor Kontinuitetsplan Syftet med en kontinuitetsplan är att motverka avbrott i verksamheten, att skydda viktiga verksamhetsprocesser vid avbrott och att säkra återstart inom rimlig tid. Kontinuitetsplanering är ett basnivåkrav enligt BITS arbetslöshetskassor har inte säkerställt att en kontinuitetsplan finns upprättad för den egna och/eller 11 Basnivå för informationssäkerhet, Krisberedskapsmyndigheten, KBM, rekommenderar 2006:1 25
26 driftbyråns verksamhet. Flertalet av dem anger att arbete pågår som kommer att slutföras under hösten Informationssäkerhetskrav i driftavtal Utan tillräckliga krav på informationssäkerhet hos de leverantörer som svarar för driften av arbetslöshetskassornas informationssystem finns en risk att information inte hanteras på ett korrekt sätt. Detta kan innebära risker för systemets tillgänglighet och sekretess. Sju arbetslöshetskassor har inte ställt krav som motsvarar BITS på sina driftleverantörer. Alla uppger att kraven kommer att säkerställas i samband med att avtalen omförhandlas. Ändringshanteringsrutin Avsaknaden av en formaliserad rutin för hantering av ändringar i systemen försvårar möjligheten att följa en ändring genom processen samt ökar risken för att ändringar som inte är godkända blir driftsatta. En konsekvens av detta kan vara driftstörningar, avbrott eller att systemen inte fungerar som avsett. Sex arbetslöshetskassor har inte säkerställt området. Av dessa är det tre som har fastställd rutin externt men inte internt, två uppger att arbete pågår och en arbetslöshetskassa har en rutin men den är inte dokumenterad. Systemägarskap OAS Utan ett tydligt ansvar för kravställning och uppföljning av drift, säkerhet och användning av OAS ökar risken väsentligt att en nödvändig säkerhetsnivå inte uppnås. Alla arbetslöshetskassor har utrett systemägarrollen för OAS. Av arbetslöshetskassornas svar framgår att SO är central systemägare och arbetslöshetskassorna lokala systemägare. Sex arbetslöshetskassor har dock inte skapat ett tydligt ansvar för kravställning och uppföljning av drift, säkerhet och användning av systemet men anger att arbete pågår. Gruppkonton Om flera individer kan ha tillgång till samma användarkonto finns risk för att det i efterhand inte går att fastställa vem som utfört aktiviteter i systemet. Alla arbetslöshetskassor har säkerställt området när det gäller OAS. Avseende medlemssystem så uppger tre arbetslöshetskassor att området inte är säkerställt men att arbete pågår. En arbetslöshetskassa har inte besvarat frågan. 26
27 6.2 Utvecklingsområden inom riskklass 2 Diagram 4 visar kvarstående utvecklingsområden inom riskklass 2 samt det antal arbetslöshetskassor som inte har säkerställt respektive område. Diagram 4: Områden med riskklass 2 och antal arbetslöshetskassor Systemsäkerhetsanalys OAS Driftdokumentation OAS Personuppgifter i testmiljö Lösenordsregler Dualitet för intern kontroll Dokumentation av tester i medlemssystem Godkännande av tester i medlemssystem Driftavtal medlemssystem Återläsningstest Hantering av personuppgiftslagen, PuL Behörighetsrutin Behörighetskontroll Begränsat antal användarkonton Antal arbetslöshetskassor Systemsäkerhetsanalys OAS En systemsäkerhetsanalys är ett basnivåkrav enligt BITS för samhällsviktiga informationssystem. En systemsäkerhetsanalys minskar risken för att användare inte är medvetna om risker och i vilken omfattning information skall skyddas. Analysen minskar även risken för intrång, obehörig åtkomst till information och förlust av data. Området är inte säkerställt av någon arbetslöshetskassa. Av arbetslöshetskassornas kommentarer till frågan framgår att systemägaren till OAS, SO, kommer att genomföra en systemsäkerhetsanalys under hösten Driftdokumentation saknas för OAS Avsaknad av, eller bristande, teknisk driftdokumentation ger ett ökat beroende av nyckelpersoner samt ökar risken för driftstörningar med risk för ökade utvecklingskostnader. Det försvårar även arbetslöshetskassornas möjlighet till kännedom om systemets tekniska miljö. 22 arbetslöshetskassor uppger att deras driftbyråer saknar tillräcklig teknisk driftdokumentation och/eller att denna inte uppnår den nivå som krävs enligt BITS. Av arbetslöshetskassornas kommentarer till frågorna framgår att arbete pågår hos driftleverantörer och SO för att förbättra dokumentationen. Några arbetslöshetskassor uppger också att kraven ska förtydligas i deras driftavtal. 27
28 Inga personuppgifter i testmiljö Enligt personuppgiftslagen (1998:204), 30, får personuppgifter inte behandlas av andra organisationer utan undertecknade personuppgiftsbiträdesavtal. Arbetslöshetskassorna riskerar att inte följa personuppgiftslagen i de fall personbiträdesavtal saknas med de organisationer som behandlar produktionsdata från informationssystemen. Avseende personuppgifter i testmiljö så har 17 arbetslöshetskassor uppgett att de inte är avpersonifierade. Två arbetslöshetskassor har inte besvarat frågan. Åtta arbetslöshetskassor har uppgett att de inte har personuppgiftsbiträdesavtal med alla organisationer som behandlar produktionsdata från arbetslöshetskassans system. Lösenordsregler jämförbara med BITS rekommendationer Vid bristande lösenordskrav finns risk att lösenord blir kända och obehöriga användare kan få tillgång till system och känslig information. 13 arbetslöshetskassor har inte implementerat lösenordsregler jämförbara med BITS. Av arbetslöshetskassornas kommentarer till frågan framgår att arbete pågår och kraven kommer att finnas för OAS i november Dualitet för intern kontroll Det finns en möjlig risk att en enskild handläggare både kan registrera en medlem och generera en utbetalning åt denne vilket ökar risken för interna oegentligheter. 12 arbetslöshetskassor har inte säkerställt området. Sju av dessa uppger att arbete pågår och två anger att dualitet inte är genomförbart på grund av arbetslöshetskassans storlek. Dokumentation av tester i medlemssystem Utan dokumenterade tester ökar risken för att viktiga tester inte blir utförda. Detta kan leda till minskad kännedom om systemets funktionalitet och eventuella brister. Uppstår ett systemfel i en ny version kan även möjligheten att identifiera felkällan försvåras. Elva arbetslöshetskassor dokumenterar inte genomförda tester. Av dessa är det fem arbetslöshetskassor som uppger att arbete pågår och tre arbetslöshetskassor som hänvisar till SO:s dokumentation av genomförda tester. I det följande beskrivs resterande utvecklingsområden på en övergripande nivå. 28
29 Sju arbetslöshetskassor saknar formella avtal för driften av sina medlemssystem. Detta kan innebära en ökad risk för störningar i systemets tillgänglighet och säkerhet. Fem arbetslöshetskassor godkänner inte förändringar i medlemssystemen innan de produktionssätts. Två arbetslöshetskassor har inte besvarat frågan. Detta kan innebära produktionssättning av förändringar som inte är godkända. Sex arbetslöshetskassor saknar dokumenterade instruktioner för hantering av personuppgifter och sekretess. Detta kan innebära att uppgifter inte hanteras i enlighet med gällande lagstiftning. Sex arbetslöshetskassor har inte ställ krav på sina driftleverantörer om frekvens och omfattning av återläsningstester för OAS och/eller medlemssystem. Detta kan innebära att systemen inte fungerar tillfredsställande efter datahaveri eller liknande händelse. Fem arbetslöshetskassor saknar en formell behörighetsrutin i den egna och/eller driftleverantörens hantering. Detta kan innebära att tilldelning eller borttag av behörigheter inte sker och dokumenteras på ett korrekt, godkänt och standardiserat sätt. Fem arbetslöshetskassor saknar en dokumenterad rutin för att kontrollera utdelade behörigheter i OAS och/eller medlemssystem. Detta kan innebära att obehöriga personer har tillträde till systemen och en ökad risk för interna oegentligheter. En arbetslöshetskassa har inte begränsat antal användarkonton med administratörsrättigheter till ett minimum. Arbetslöshetskassan uppger dock att arbete pågår. 6.3 Utvecklingsområden inom riskklass 3 23 arbetslöshetskassor har inte genomfört riskanalys och fastställt vilka systemhändelser som behöver övervakas. 22 arbetslöshetskassor har inte en rutin för regelbunden loggranskning av viktiga systemhändelser. Detta innebär en risk att arbetslöshetskassorna inte upptäcker obehöriga aktiviteter i systemen och försvårar möjligheten till analys och spårning av eventuella oegentligheter i systemen. Nio arbetslöshetskassor deltar inte i tester av programuppdateringar i OAS. Detta innebär en ökad risk för driftstörningar, avbrott eller att systemet inte fungerar som avsett. 29
30 Sex arbetslöshetskassor har inte specificerat kraven på programuppdateringar (patchning) mot sin driftbyrå. Om uppdateringar inte installeras löpande finns en risk för att felaktigheter kan utnyttjas av obehöriga. Vidare är sådana felaktigheter oftast allmänt kända och därmed ökar risken att säkerhetsbrister utnyttjas av obehöriga. 6.4 Internkontrollen i OAS och Äga Under december 2008 slutfördes implementeringen av arbetslöshetskassornas ärendehanteringssystem Äga. Den granskning av arbetslöshetskassornas informationssystem IAF gjorde 2008 innefattade således inte någon granskning av Äga. IAF fick under intervjuerna med arbetslöshetskassornas ledningar information om att den modul i Äga som beräknar normalarbetstid och dagsförtjänst för den enskilde inte var tillförlitlig i alla delar. Arbetslöshetskassorna hade valt olika sätt att hantera detta. Vissa använde beräkningsmodulen fullt ut och rapporterade upptäckta fel i enlighet med sina rutiner för felrapportering. Andra arbetslöshetskassor gjorde manuella kontrollräkningar av ärendena medan några inte använde sig av beräkningsmodulen överhuvud taget. I intervjuerna med arbetslöshetskassornas ledningar ingick några frågor om OAS och Äga. I detta avsnitt redovisar IAF frågorna och en sammanfattning av arbetslöshetskassornas svar. Följer behörigheter i OAS och Äga arbetslöshetskassans beslutsordning (gällande ansvar och befogenheter)? En knapp tredjedel av arbetslöshetskassorna har svarat ja. Resterande två tredjedelar uppger att det inte fungerar i alla delar eller att de är tveksamma eller osäkra på hur det fungerar. Vilka kontroller görs när ni inför nya versioner av OAS och Äga? Arbetslöshetskassorna uppger att SO genomför testning och kontroll innan driftsättning. Utöver det uppger hälften av arbetslöshetskassorna att de gör egna tester och kontroller innan nya versioner driftsätts. Hur fångar ledningen upp indikationer på brister i OAS och Äga? Samtliga arbetslöshetskassor har rutiner för att fånga upp och rapportera brister i systemen till Helpdesk, driftbyråer och/eller SO. Allvarligare brister rapporteras också via kassaföreståndare till respektive styrelse. 30
31 7 Sammanfattande analys IAF har granskat samtliga arbetslöshetskassors system och rutiner för internkontroll och följt upp granskningen av arbetslöshetskassornas informationssystem som IAF genomförde Arbetslöshetskassorna är privaträttsliga organisationer som i sin verksamhet utför uppgifter som innefattar myndighetsutövning. Arbetslöshetskassorna omfattas inte av myndighetsförordningen eller förordningen om intern styrning och kontroll. Lagen om arbetslöshetskassor anger inte några krav avseende internkontroll. Även om ovan nämnda förordningar inte är styrande för arbetslöshetskassorna anser IAF att de krav som ställs i dem är en rimlig utgångspunkt och referensram i den aktuella granskningen. Uppföljningen av arbetslöshetskassornas informationssystem har utgått från de utvecklingsområden som identifierades och den riskklassificering som gjordes i 2008 års granskning samt de statusrapporter som arbetslöshetskassorna lämnat till IAF. 7.1 Arbetslöshetskassornas grad av systematisk internkontroll Utifrån intervjuerna har IAF gjort en sammanfattande bedömning av arbetslöshetskassornas grad av systematisk internkontroll. Arbetslöshetskassornas arbete med internkontroll har IAF graderat i fyra nivåer; systematisk internkontroll systematisk internkontroll i vissa delar låg grad av systematisk internkontroll mycket låg grad av systematisk internkontroll 31
32 Diagram 1: IAF:s bedömning av arbetslöshetskassornas grad av systematisk internkontroll Antal arbetslöshetskassor Mycket låg grad av systematisk internkontroll Låg grad av systematisk internkontroll Systematisk internkontroll i vissa delar Systematisk internkontroll Av diagrammet framgår IAF:s bedömning av arbetslöshetskassornas grad av systematisk internkontroll. Bedömningen utgår i huvudsak från det som framkommit vid intervjuerna om arbetslöshetskassornas arbete inom momenten kontrollmiljö, riskanalys och kontrollåtgärder. En arbetslöshetskassa bedriver ett systematiskt internkontrollarbete. Fyra arbetslöshetskassor har systematisk internkontroll i vissa delar av sin verksamhet. 27 arbetslöshetskassor har en låg eller mycket låg grad av systematisk internkontroll. Endast en arbetslöshetskassa har en systematisk internkontroll. Det som utmärker den arbetslöshetskassan är bland annat att de har en plan för sin internkontroll och arbetar på ett systematiskt sätt med riskanalys. Utifrån de identifierade riskerna vidtar de relevanta kontrollåtgärder. Arbetslöshetskassan har i hög utsträckning dokumenterat sitt arbete med kontrollmiljö, riskanalys och kontrollåtgärder. Samtidigt finns det utvecklingsmöjligheter, till exempel genom en systematisk utvärdering av om arbetet med riskanalys och internkontroll fungerar som avsett. Fyra arbetslöshetskassor har systematisk internkontroll i vissa delar. Utmärkande för de arbetslöshetskassorna är att de medvetet arbetar med att utveckla arbetet med sin internkontroll. En indikator är att de är på väg att påbörja ett riskanalysarbete. Två av arbetslöshetskassorna arbetar även med att ta fram en plan för sitt arbete med internkontroll. Vid en samlad bedömning har dessa arbetslöshetskassor generellt sett en högre grad av 32
Arbetslöshetskassornas system och rutiner för internkontroll samt informationssäkerhet
2010-10-29 Dnr 2010/80 T3 2010:24 Arbetslöshetskassornas system och rutiner för internkontroll samt informationssäkerhet Uppföljning till regeringen 2 Regeringen har i regleringsbrev för 2010 givit Inspektionen
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688
Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led
Läs merRegler och riktlinjer för intern styrning och kontroll vid KI
Riktlinjer Dnr: 1795/2009-010 2009-06-01 Sid: 1 / 9 Universitetsförvaltningen Ledningskansliet Regler och riktlinjer för intern styrning och kontroll vid KI Riktlinjerna är fastställda av konsistoriet
Läs merRiktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern
Riktlinje Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern Beslutat av Norrköping Rådhus AB den 11 februari 2015 Enligt Kommunallagen (6 Kap 7 ) ska nämnder och
Läs merArbetslöshetskassornas arbete med intern styrning och kontroll. Rapport 2018:7
Arbetslöshetskassornas arbete med intern styrning och kontroll Rapport 2018:7 Om IAF IAF har regeringens och riksdagens uppdrag att verka för att arbetslöshetsförsäkringen ska fungera som en omställningsförsäkring.
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.
Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen
Läs merLokala regler och anvisningar för intern kontroll
Kulturförvaltningen TJÄNSTEUTLÅTANDE Diarienummer: Avdelningen för verksamhets- och ledningsstöd 2019-03-27 KN 2019/364 Handläggare: Harald Lindkvist Lokala regler och anvisningar för intern kontroll Ärendebeskrivning
Läs merIAF:s granskning av ersättningsärenden: Kommunalarbetarnas arbetslöshetskassa
PM 1 (5) 2011:24 IAF:s granskning av ersättningsärenden: Kommunalarbetarnas arbetslöshetskassa Sammanfattning Den 17 och 18 november 2010 utfördes en ärendegranskning av ett urval av förstagångsprövade
Läs merKonferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015
Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015 Att integrera RSA i arbetet med intern styrning och kontroll samt i myndighetens styrprocess Michael Lindstedt Myndigheten
Läs merFinansieringen av arbetslöshetsförsäkringen
2013:2 Finansieringen av arbetslöshetsförsäkringen Uppföljning initierad av IAF Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2012/770 Finansieringen av arbetslöshetsförsäkringen Uppföljning
Läs merReglemente för internkontroll
Kommunstyrelseförvaltningen REGLEMENTE Reglemente för internkontroll "Dubbelklicka - Infoga bild 6x6 cm" Dokumentnamn Fastställd/upprättad av Dokumentansvarig/processägare Reglemente för internkontroll
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet
Revisionsrapport Karolinska institutet 171 77 Stockholm Datum Dnr 2011-02-01 32-2010-0715 Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet 2010 Riksrevisionen
Läs merPolicy för internkontroll för Stockholms läns landsting och bolag
Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag 2 (6) Innehållsförteckning Policy för internkontroll... 1 för Stockholms
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.
Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice
Läs merFöreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet
BESLUT 1(7) Avdelning Ledningskansliet Handläggare Agnes Ers 08-563 086 63 agnes.ers@uka.se Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet Bakgrund Syftet med
Läs merKompletterande aktörer och Arbetsförmedlingens kontrollarbete Säkerställer Arbetsförmedlingen en korrekt avvikelserapportering?
Kompletterande aktörer och Arbetsförmedlingens kontrollarbete Säkerställer Arbetsförmedlingen en korrekt avvikelserapportering? Rapport 2018:14 Om IAF IAF har regeringens och riksdagens uppdrag att verka
Läs merGranskningsrapport av intern styrning och kontroll 2017
Kommunstyrelsen 2018-02-20 Kommunledningskontoret Ekonomi och kvalitet KSKF/2017:686 Anne Levirinne 016-710 31 57 1 (2) Kommunstyrelsen Granskningsrapport av intern styrning och kontroll 2017 Förslag till
Läs merInformationssäkerhetspolicy för Ånge kommun
INFORMATIONSSÄKERHETSPOLICY 1 (10) Informationssäkerhetspolicy för Ånge kommun Denna informationssäkerhetspolicy anger hur Ånge kommun arbetar med informationssäkerhet och uttrycker kommunens stöd för
Läs merArbetslöshetskassornas eget kapital och finansiella placeringar
2013:3 Arbetslöshetskassornas eget kapital och finansiella placeringar Kartläggning initierad av IAF Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2012/673 Arbetslöshetskassornas eget
Läs merArbetslöshetskassan Alfa Granskning av ekonomi. Rapport 2017:13
Arbetslöshetskassan Alfa Granskning av ekonomi Rapport 2017:13 Om IAF IAF har regeringens och riksdagens uppdrag att verka för att arbetslöshetsförsäkringen ska fungera som en omställningsförsäkring. Vi
Läs merStadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen
Stadsrevisionen Projektplan Informationssäkerhetsarbetet i Göteborgs Stad goteborg.se/stadsrevisionen 2 PROJEKTPLAN INFORMATIONSSÄKERHETSARBETET I GÖTEBORGS STAD Informationssäkerhetsarbetet i Göteborgs
Läs merFörstagångsprövade företagarärenden vid Kommunalarbetarnas arbetslöshetskassa
2014:30 Förstagångsprövade företagarärenden vid Kommunalarbetarnas arbetslöshetskassa Granskning initierad av IAF Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2014/253 4.1 Kommunalarbetarnas
Läs merEkonomigranskning 2015
2015:32 Ekonomigranskning 2015 Granskning initierad av IAF Ekonomigranskning 2015 Granskning initierad av IAF Inspektionen för arbetslöshetsförsäkringen (IAF) har granskat arbetslöshetskassornas årsredovisningar
Läs merInternrevisionsförordning (2006:1228)
Internrevisionsförordning (2006:1228) Ekonomistyrningsverkets föreskrifter och allmänna råd1 Tillämpningsområde 1 Denna förordning gäller för förvaltningsmyndigheter under regeringen i den omfattning som
Läs merArbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006
1(6) Styrelsen för konsult- och service Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006 1. Syftet med den interna kontrollen Intern kontroll
Läs merRiktlinjer för intern kontroll
Riktlinjer för intern kontroll Antagna av kommunsstyrelsen 2016- Bakgrund Kommunsstyrelsen har inom ramen för sitt samordningsansvar och sin uppsiktsplikt det övergripande ansvaret att se till att en god
Läs merGranskning av beslut efter inkomna underrättelser vid Kommunalarbetarnas arbetslöshetskassa
2015:12 Granskning av beslut efter inkomna underrättelser vid Kommunalarbetarnas arbetslöshetskassa Granskning initierad av IAF Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2014/476
Läs merInformationssäkerhetspolicy för Ystads kommun F 17:01
KS 2017/147 2017.2189 2017-06-29 Informationssäkerhetspolicy för Ystads kommun F 17:01 Dokumentet gäller för: Ystads kommuns nämnder, kommunala bolag och kommunala förbund Gäller fr.o.m. - t.o.m. 2017-08-01-tillsvidare
Läs merPolicy för Essunga kommuns internkontroll
Policy för Essunga kommuns internkontroll Dokumenttyp Fastställd Detta dokument gäller för Policy 2017-02-20, 6 av Kommunfullmäktige Samtliga nämnder, bolag och stiftelser Giltighetstid 2017-02-21 2021-12-31
Läs merAMS utbetalning av statsbidrag till arbetslöshetskassorna
Dnr. 2005/2041 2005-10-31 AMS utbetalning av statsbidrag till arbetslöshetskassorna 2 Arbetsmarknadsstyrelsens (AMS) utbetalning av statsbidrag till arbetslöshetskassorna I regleringsbrevet för 2005 har
Läs merGranskning av informationssäkerheten i arbetslöshetskassornas medlemssystem
2010-04-22 Dnr 2009/1077 2010:4 Granskning av informationssäkerheten i arbetslöshetskassornas medlemssystem 2 IAF är förvaltningsmyndighet för tillsynen över arbetslöshetsförsäkringen och utövar tillsyn
Läs merGranskning av stadens arbete med åtgärder och uppföljning avseende intern styrning och kontroll
www.pwc.se Revisionsrapport Tilda Lindell Margareta Irenaeus Granskning av stadens arbete med åtgärder och uppföljning avseende intern styrning och kontroll Solna stad Åtgärder och uppföljning avseende
Läs mer2016:25 Företag utan verksamhet. Uppföljning initierad av IAF
2016:25 Företag utan verksamhet Uppföljning initierad av IAF Dnr: 2016/66 Samtliga arbetslöshetskassor Arbetslöshetskassornas samorganisation Företag utan verksamhet Uppföljning initierad av IAF Inspektionen
Läs merFörstagångsprövade företagarärenden vid Hotelloch restauranganställdas arbetslöshetskassa
2014:29 Förstagångsprövade företagarärenden vid Hotelloch restauranganställdas arbetslöshetskassa Granskning initierad av IAF Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2014/362 4.1
Läs merFörstagångsprövade ersättningsärenden vid Arbetslöshetskassan Vision
2013:26 Förstagångsprövade ersättningsärenden vid Arbetslöshetskassan Vision Granskning initierad av IAF Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2013/385 4.1 Arbetslöshetskassan
Läs merSystem för intern kontroll Spånga-Tensta Stadsdelsnämnd
System för intern kontroll Spånga-Tensta Stadsdelsnämnd stockholm.se Innehåll Syfte och funktion... 3 Internkontrollsarbetets förutsättningar och utförande... 3 Systematiska kontroller... 4 Internkontrollplanen...
Läs merRevisionsplan 2016 Internrevisionens riskanalys och revisionsplan
Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan 0 Sammanfattning Förslaget till revisionsplan baseras på en risk- och väsentlighetsanalys som internrevisionen genomfört. Analysen bygger
Läs merFörstagångsprövade ersättningsärenden vid IF Metalls arbetslöshetskassa
2013:33 Förstagångsprövade ersättningsärenden vid IF Metalls arbetslöshetskassa Granskning initierad av IAF Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2013/721 4.1 IF Metalls arbetslöshetskassa
Läs merFörstagångsprövade ersättningsärenden vid Ledarnas arbetslöshetskassa
2013:30 Förstagångsprövade ersättningsärenden vid Ledarnas arbetslöshetskassa Granskning initierad av IAF Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2013/683 4.1 Ledarnas arbetslöshetskassa
Läs merIntern kontroll i kommunen och dess företag. Sollefteå kommun
Revisionsrapport Intern kontroll i kommunen och dess företag Anita Agefjäll December/2015 Innehåll 1. Sammanfattning... 2 2. Inledning... 3 2.1. Bakgrund... 3 2.2. Syfte och Revisionsfrågor... 3 2.3. Revisionskriterier...
Läs merArbetslöshetskassornas egna kapital och finansiella placeringar. Rapport 2019:9
Arbetslöshetskassornas egna kapital och finansiella placeringar Rapport 2019:9 Om IAF IAF har regeringens och riksdagens uppdrag att verka för att arbetslöshetsförsäkringen ska fungera som en omställningsförsäkring.
Läs merGranskning av arbetslöshetskassornas årsredovisningar 2015
2016:26 Granskning av arbetslöshetskassornas årsredovisningar 2015 Granskning initierad av IAF Dnr: 2016/55 Granskning av arbetslöshetskassornas årsredovisningar 2015 Granskning initierad av IAF Inspektionen
Läs merInternkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll
KIRUNA KOMMUN Bilaga 1 Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll Innehåll sida 1. Intern styrning och kontroll 2 2. Riskanalys 3 - Övergripande
Läs merInternrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009
Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall 2009-02-18 Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009 1 Inledning Internrevisionen vid Göteborgs universitet bedrivs i enlighet med internrevisionsförordningen
Läs merSystem för intern kontroll Hässelby-Vällingby stadsdelsförvaltning
System för intern kontroll Hässelby-Vällingby stadsdelsförvaltning stockholm.se Augusti 2017 Dnr: 1.2.1-264-2017 Kontaktperson: Per Lindberg 3 (11) Innehåll Inledning... 4 Kontrollsystemet... 5 Ansvarsfördelning...
Läs merInformationssäkerhetspolicy inom Stockholms läns landsting
LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4
Läs merRevisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll
Revisionsrapport Örebro universitet Fakultetsgatan 1 701 82 Örebro Datum Dnr 2009-03-30 32-2008-0701 Örebro universitets årsredovisning 2008 Riksrevisionen har granskat Örebro universitets årsredovisning,
Läs merUppföljning av granskning 2014 Intern kontroll. Smedjebackens kommun
www.pwc.se Revisionsrapport Uppföljning av granskning 2014 Intern kontroll Hans Gåsste Linnéa Grönvold November 2015 Innehåll Sammanfattning... 2 Inledning... 3 1.1. Bakgrund... 3 1.2. Uppdraget... 3 1.3.
Läs merHällefors kommun. Uppföljning av intern kontroll Revisionsrapport. Offentlig sektor KPMG AB 2014-05-16 Antal sidor: 13
Revisionsrapport Offentlig sektor KPMG AB Antal sidor: 13 Innehåll 1. Sammanfattning 2. Bakgrund 2.1 Definition av intern kontroll 2.2 Exempel på uppföljning av den interna kontrollen 3. Syfte 4. Avgränsning
Läs merRP 170/2008 rd. Lagen avses träda i kraft den 1 januari 2009.
RP 170/2008 rd Regeringens proposition till Riksdagen med förslag till lag om ändring av lagen om arbetslöshetskassor PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL I propositionen föreslås det att lagen om arbetslöshetskassor
Läs merREGLER FÖR INTERN KONTROLL
Strategi Program Plan Policy Riktlinjer Regler Styrdokument REGLER FÖR INTERN KONTROLL ANTAGET AV: KOMMUNFULLMÄKTIGE DATUM: 2015-05-28 ANSVAR UPPFÖLJNING: KOMMUNCHEF GÄLLER TILL OCH MED: 2018 Våra styrdokument
Läs merHantering av uteslutning och frånkännande
Hantering av uteslutning och frånkännande Uppföljning av rapport 2016:20 Rapport 2018:3 Om IAF IAF har regeringens och riksdagens uppdrag att verka för att arbetslöshetsförsäkringen ska fungera som en
Läs merOmprövning av utträde vid bristande betalning
2016:22 Omprövning av utträde vid bristande betalning Uppföljning initierad av IAF Dnr: 2016/88 Samtliga arbetslöshetskassor Arbetslöshetskassornas samorganisation Omprövning av utträde vid bristande betalning
Läs mer3 Metod och genomförande
PM 1 (5) 2011:11 Breddad och fördjupad ekonomigranskning av arbetslöshetskassorna 2010 Sammanfattning Under 2010 och början av 2011 granskades tretton arbetslöshetskassor som ett led i den fortsatta breddade
Läs merRevisionsrapport. Översiktlig granskning av den interna styrningen och kontrollen * Sammanfattande resultat. Ljusdals kommun
www.pwc.se Revisionsrapport Översiktlig granskning av den interna styrningen och kontrollen * Sammanfattande resultat Göran Persson-Lingman Certifierad kommunal revisor Hanna Franck Larsson Certifierad
Läs merRiktlinjer för intern kontroll
Riktlinjer för intern kontroll Antagna av landstingsstyrelsen 2017-09-12, 161 Bakgrund Landstingsstyrelsen har inom ramen för sitt samordningsansvar och sin uppsiktsplikt det övergripande ansvaret att
Läs merIdrottsnämndens system för internkontroll
Idrottsförvaltningen Avdelningen för lednings- och verksamhetsstöd Sida 1 (7) 2016-11-30 IDN 2016-12-20 Handläggare Sara Östling Telefon: 08-508 27 918 Till Idrottsnämnden Idrottsnämndens system för internkontroll
Läs merFörstagångsprövade ersättningsärenden vid Fastighets arbetslöshetskassa
2013:34 Förstagångsprövade ersättningsärenden vid Fastighets arbetslöshetskassa Granskning initierad av IAF Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2013/173 4.1 Fastighets arbetslöshetskassa
Läs merArbetslöshetskassornas administrationskostnader
2016:27 Arbetslöshetskassornas administrationskostnader Rapport initierad av IAF Arbetslöshetskassornas administrationskostnader Rapport initierad av IAF Inspektionen för arbetslöshetsförsäkringen (IAF)
Läs merRevisionsrapport. Sveriges Lantbruksuniversitets årsredovisning 2008. 1. Sammanfattning
Revisionsrapport Sveriges Lantbruksuniversitet Box 7070 750 07 Uppsala Datum Dnr 2009-03-30 32-2008-0760 Sveriges Lantbruksuniversitets årsredovisning 2008 Riksrevisionen har granskat Sveriges Lantbruksuniversitets
Läs merMiljö- och hälsoskyddsnämndens plan för intern kontroll 2014
1 (3) MILJÖ- OCH HÄLSOSKYDDSNÄMNDEN Datum Diarienummer 2014-01-08 2013-005797- AD Miljö- och hälsoskyddsnämndens plan för intern kontroll 2014 Reglemente för intern kontroll 1 ger anvisningar för hur intern
Läs merIT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser
Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert
Läs merInternrevisionen Förslag till revisionsplan för år 2008 Christina Wannehag Dnr B 5 350/08
Internrevisionen Förslag till revisionsplan för år 2008 Christina Wannehag 2008-02-20 Dnr B 5 350/08 REVISIONSPLANEN FÖR ÅR 2008 1. Inledning Internrevisionen vid Göteborgs universitet bedrivs i enlighet
Läs merHandledning Samarbete om risker i verksamheten
Handledning Samarbete om risker i verksamheten ESV:s handledningar är till stöd för hur föreskrifter och allmänna råd kan tolkas och användas inom områden där ESV är normerande. Publikationen kan laddas
Läs merArbetslöshetskassornas eget kapital
2016:12 Arbetslöshetskassornas eget kapital Uppföljning initierad av IAF Dnr: 2016/55 Arbetslöshetskassornas eget kapital Uppföljning initierad av IAF Inspektionen för arbetslöshetsförsäkringen (IAF) har
Läs merIntern kontroll och riskbedömningar. Sollefteå kommun
www.pwc.se Revisionsrapport Intern kontroll och riskbedömningar Bo Rehnberg Cert. kommunal revisor Erik Jansen November 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte
Läs merEkonomistyrningsverkets cirkulärserie över föreskrifter och allmänna råd
Ekonomistyrningsverkets cirkulärserie över föreskrifter och allmänna råd Ekonomistyrningsverkets föreskrifter och allmänna råd till internrevisionsförordning (2006:1228). beslutade den 28 februari 2007.
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.
Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan
Läs merRiktlinjer för IT-säkerhet i Halmstads kommun
Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4
Läs merGranskning av beslut efter inkomna underrättelser vid GS arbetslöshetskassa
2016:8 Granskning av beslut efter inkomna underrättelser vid GS arbetslöshetskassa Granskning initierad av IAF Dnr: 2015/675 GS arbetslöshetskassa Box 1152 111 81 Stockholm Granskning av beslut efter inkomna
Läs merFörstagångsprövade ersättningsärenden vid Hotell- och restauranganställdas arbetslöshetskassa
2013:16 Förstagångsprövade ersättningsärenden vid Hotell- och restauranganställdas arbetslöshetskassa Granskning initierad av IAF Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2013/190
Läs merIT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina
1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,
Läs merFörstagångsprövade ersättningsärenden vid STs arbetslöshetskassa
2013:28 Förstagångsprövade ersättningsärenden vid STs arbetslöshetskassa Granskning initierad av IAF Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2013/720 4.1 STs arbetslöshetskassa
Läs merRiktlinjer för arbetet med intern kontroll
Riktlinjer för arbetet med intern kontroll Förskoleförvaltningen Upprättad Datum: Version: Ansvarig: Förvaltning: Enhet: 2014-12-16 1.0 Olof Fredholm Förskoleförvaltningen Ekonomiavdelningen Innehållsförteckning
Läs merFörstagångsprövade ersättningsärenden vid Finans- och försäkringsbranschens arbetslöshetskassa
2014:10 Förstagångsprövade ersättningsärenden vid Finans- och försäkringsbranschens arbetslöshetskassa Granskning initierad av IAF Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2013/746
Läs merArbetslöshetskassornas medlemsavgiftsfordringar
2014:2 Arbetslöshetskassornas medlemsavgiftsfordringar Kartläggning initierad av IAF Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2013/261 Arbetslöshetskassornas medlemsavgiftsfordringar
Läs merReglemente för intern kontroll
KOMMUNAL FÖRFATTNINGSSAMLING 2015:6-042 Reglemente för intern kontroll Antagen av kommunfullmäktige 2015-08-27 102 1 Reglemente för intern kontroll Syfte med reglementet 1 Syfte Detta reglemente syftar
Läs merIT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser
Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning
Läs merFörstagångsprövade företagarärenden vid Handelsanställdas arbetslöshetskassa
2014:28 Förstagångsprövade företagarärenden vid Handelsanställdas arbetslöshetskassa Granskning initierad av IAF Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2014/254 4.1 Handelsanställdas
Läs merRevisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning
Revisionsrapport Lantmäteriverket 801 82 Gävle Datum Dnr 2008-03-19 32-2007-0781 Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan Riksrevisionen har som ett led i den årliga revisionen
Läs merPolicy för intern styrning och kontroll
Rättslig grund Policy för intern styrning och kontroll Finansinspektionens föreskrifter och allmänna råd om styrning, riskhantering och kontroll i kreditinstitut (FFFS 2014:1) Dokumentägare Antagen datum
Läs merGranskning av Arbetslöshetskassan Alfas ekonomi
2009-12-30 Dnr: 2009/301 T3 Granskning av Arbetslöshetskassan Alfas ekonomi Granskningar under 2009 med IAF:s slutsatser och planerad uppföljning under 2010. En breddad och fördjupad granskning av arbetslöshetskassornas
Läs merInformationssäkerhetspolicy
Informationssäkerhetspolicy KS/2018:260 Ansvarig: Kanslichef Gäller från och med: 2018-07-19 Uppföljning / revidering ska senast ske: 2019-07-19 Beslutad av kommunfullmäktige 2018-06-20, 60 Innehållsförteckning
Läs merInternrevisionsrapport 2018
1 UFV 2018/863 Internrevisionsrapport 2018 Fastställd av Konsistoriet 2018-12-14 Innehållsförteckning 1 Sammanfattning... 3 2 Bakgrund... 4 3 Syfte samt revisionsfrågor... 4 3.1 Granskningens genomförande...
Läs merIAF:s granskning av företagarärenden: Svensk handels och arbetsgivarnas arbetslöshetskassa
PM 2010-06-14 1 (3) Dnr 2010/43 2010:10 IAF:s granskning av företagarärenden: Svensk handels och arbetsgivarnas arbetslöshetskassa Sammanfattning Den 15-16 februari 2010 utfördes en ärendegranskning på
Läs merRevisionsrapport Karolinska Institutet Stockholm
Revisionsrapport Karolinska Institutet 171 77 Stockholm Datum Dnr 2009-03-19 32-2008-0736 Karolinska Institutets årsredovisning 2008 Riksrevisionen har granskat Karolinska Institutets (KI:s) årsredovisning,
Läs merInformationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting
Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad
Läs merGöteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012
Göteborg Energi AB Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte 18 december 2012 1 Sammanfattning Med start hösten 2010 har Deloitte, Ernst & Young och PwC på uppdrag av Göteborgs
Läs merRiktlinjer för internrevisionen vid Sida
Riktlinjer för internrevisionen vid Sida Sekretariatet för utvärdering och intern revision Riktlinjer för internrevisionen vid Sida Beslutade av Sidas styrelse 2007-06-01. Sekretariatet för utvärdering
Läs merÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning
ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation
Läs merInternkontrollplan 2018 för kommunstyrelsen
Kommunstyrelsen 2018-01-05 Konsult och uppdrag Kommunledningskontoret KSKF/2017:583 Lena Lundberg 016-710 2821 1 (1) Kommunstyrelsen Internkontrollplan 2018 för kommunstyrelsen Förslag till beslut Internkontrollplanerna
Läs merTillväxtverkets riktlinjer för intern styrning och kontroll
Dokumentnamn Dokumenttyp Datum Tillväxtverkets riktlinjer för intern styrning och kontroll 2016-02-02 Diarienr/Projektnr Upprättad av Godkänd av Version 1.3.6-Ä 2015-1717 Kjell Wenna/Håkan Karlsson/ Gunilla
Läs merIntern kontroll och riskbedömningar. Strömsunds kommun
www.pwc.se Revisionsrapport Intern kontroll och riskbedömningar Anneth Nyqvist Mars 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte och Revisionsfråga... 3 1.3. Kontrollmål
Läs merInformationssäkerhetspolicy KS/2018:260
Informationssäkerhetspolicy KS/2018:260 Innehållsförteckning Antagen av kommunfullmäktige den [månad_år] Informationssäkerhetspolicy...22 Ändringar införda till och med KF, [nr/år] Inledning och bakgrund...22
Läs merRiktlinjer för internkontroll i Kalix kommun
Riktlinjer för internkontroll i Kalix kommun Antaget av kommunfullmäktige 2012-11-26--27, 182 Innehållsförteckning Riktlinjer för internkontroll i Kalix kommun...1 Inledning...1 Internkontroll...1 Organisation
Läs merBilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet
Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar
Läs merTillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller
Beslut Diarienr 1 (8) 2017-06-13 989-2016 Praktikertjänst AB 103 55 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller
Läs merFörstudie: Övergripande granskning av ITdriften
Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...
Läs merGranskning av intern styrning och kontroll vid Statens servicecenter
1 Granskning av intern styrning och kontroll vid Statens servicecenter Riksrevisionen har som ett led i den årliga revisionen av Statens Servicecenter granskat den interna styrning och kontroll i myndighetens
Läs merRevisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016
www.pwc.se Revisionsrapport Uppföljning av ITgranskning från år 2013 Caroline Liljebjörn 1 juni 2016 Innehåll Sammanfattning och revisionell bedömning...2 1.1. Bedömningar mot kontrollmål...2 2. Inledning...4
Läs mer