GRANSKNING AV SÄKERHETSENHETEN - UPPDRAG, MÅL OCH FÖRUTSÄTTNINGAR

Transkript

1 För kännedom Landstingsstyrelsen Helena Söderquist, förvaltningschef Lars-Gunnar Svensson, säkerhetschef Landstingsdirektör Jan Grönlund GRANSKNING AV SÄKERHETSENHETEN - UPPDRAG, MÅL OCH FÖRUTSÄTTNINGAR Enligt revisionsplanen för 2013 har en granskning genomförts, på uppdrag av de förtroendevalda revisorerna, av Säkerhetsenheten inom Landstingets ledningsstab i syfte att i huvudsak bedöma om enheten bedriver verksamhet enligt fattade beslut och med god intern kontroll. Säkerhetspolicyn med tillhörande riktlinjer är nya vilket gör det svårt att bedöma tillämpning och efterlevnad. I samband med att vi tagit del av dokumenten har vi gjort några iakttagelser kring landstingets övergripande säkerhetsarbete vilka vi också vill lyfta i samband med rubricerad granskning. SAMMANFATTNING Vår bedömning efter genomförd granskning är att verksamheten inom landstingets säkerhetsenhet i allt väsentligt bedrivs enligt fattade beslut och med tillräcklig intern kontroll. Vi vill efter genomförd granskning peka på nedanstående punkter för att ytterligare stärka den interna kontrollen. Säkerhetsenhetens roll och ansvar behöver förtydligas och kopplas till säkerhetspolicyn med tillhörande riktlinjer. Säkerhetsenheten bör upprätta en verksamhetsplan i dialog med landstingets ledning som möjliggör prioritering av enhetens uppgifter. Vem som, på landstingsdirektörens uppdrag, ska genomföra tillsyn och kontroll av efterlevnaden av policy och riktlinjer måste tydliggöras. En översyn bör göras av på vilket sätt säkerhetskostnaderna debiteras till primärvården samt de av landstinget helägda bolagen. Rapportering av statistik för genomförda e-kurser, resultat av säkerhetsdialoger och liknande kan utvecklas. Säkerhetspolicyn med tillhörande riktlinjer är nya vilket gör det svårt att bedöma tillämpning och efterlevnad. I samband med att vi tagit del av dokumenten har vi gjort några iakttagelser kring landstingets övergripande Landstinget Sörmland Repslagaregatan Nyköping Fax Tfn E-post landstinget.sormland@dll.se SID 1(15)

2 säkerhetsarbete. Dessa frågeställningar är, vad vi erfar, inte Säkerhetsenhetens ansvarsområde. Revisionen vill ändå i samband med denna rapport lyfta nedanstående; Delegationerna bör ses över snarast i enlighet med landstingsfullmäktiges beslut i samband med att säkerhetpolicy med tillhörande riktlinjer antogs. Säkerhet-, robusthet- och kontinuitetsfrågor, bör, ur ett risk- och väsentlighetsperspektiv, få större utrymme i de interna kontrollplanerna inom hela landstinget. Riktlinjerna bör så snart som möjligt kompletteras med planerade regelverk. Av de styrande dokument som finns idag kring säkerhet finns inga mätbara indikatorer eller fastställda målvärden som anger landstingets ambition med säkerhetsarbetet, skälig säkerhet. Det som framgår är att lagstiftning på området ska vara lägstanivå. Vi har inte heller kunnat finna någon samlad rapportering över incidenter, säkerhetskostnader och liknande. Detta är ett område som vi bedömer behöver utvecklas. Vi ser positivt på det nyinrättade forumet Kroken, Kommittén för robusthets- och kontinuitetsfrågor, för att lyfta strategiska frågor landstingsövergripande. Inte minst mot bakgrund av de stora investeringar som planeras under de kommande åren inom utvecklingsarbetet Framtidens hälso- och sjukvård. SYFTE OCH METOD Enligt revisionsplanen för 2013 har en granskning av Säkerhetsenheten utifrån rubriken uppdrag, mål och förutsättningar genomförts. Syftet är att klargöra vilket uppdrag enheten har, vilka mål och riktlinjer som finns för verksamheten och bedöma om verksamheten bedrivs enligt fattade beslut och med god intern kontroll. Granskningen har genomförts genom dokumentstudier och intervjuer med säkerhetschef och informationssäkerhetsansvarig. Granskningsanteckningar har överlämnats till de intervjuade för avstämning och kontroll. Synpunkter på anteckningarna har beaktats i denna rapport. Granskningen har skett under perioden augusti september SID 2(15)

3 SÄKERHETSPOLICY Ansvarsfördelning Av landstingets säkerhetspolicy 1 framgår att landstingsstyrelsen har det övergripande ansvaret för säkerhets- och trygghetsarbetet i Landstinget Sörmland. Övriga nämnders roll och ansvar framgår inte av policyn. Landstingsdirektören har enligt samma policy det övergripande ansvaret för verkställigheten av säkerhets- och trygghetsarbetet och vidare ett kontrollansvar att tillse att utförandet av säkerhets- och trygghetsarbetet följer det delegerade verksamhetsansvaret. Förvaltnings-, divisions- och verksamhetschef ansvarar för utförande och tillsyn av verksamhets säkerhets- och trygghetsarbete enligt gällande delegation. Varje anställd ansvarar för att regelverk följs, samt att fel och brister rapporteras till chef. När fullmäktige beslutade om policyn fick landstingsstyrelsen samtidigt i uppdrag att se över gällande delegationsordningar i enlighet med den nya policyn. Något sådant ärende har ännu inte varit uppe för beslut vad vi har kunnat finna. Däremot tog landstingsstyrelsen vid sitt sammanträde i maj i år, 72, ett berednings- och verkställighetsbeslut att ge landstingsdirektören uppdraget. I landstingsstyrelsens reglemente 2 finns inte det övergripande ansvaret för säkerhets- och trygghetsarbetet nämnt specifikt bland styrelsens ansvarsomården. Vi har i samband med denna granskning noterat att landstingsstyrelsens reglemente som ligger ute på landstingets externa webb 3 inte är det senast antagna. Säkerhetsenhetens roll och ansvar framgår inte av policyn. Beslutet har expedierats till landstingsstyrelsen, nämnder, landstingsdirektör, förvaltningschefer, vd:ar i landstingsägda bolag samt säkerhetschefen. Policyns mål Landstinget tog den nya säkerhetspolicyn så sent som i mars Den ersatte då tidigare säkerhetspolicy från 2005 samt policies för informationssäkerhet respektive IT-säkerhet. 1 Landstingsfullmäktige 13/2013, Säkerhetspolicy Landstinget Sörmland 2 Landstingsfullmäktige 19/2013, Reviderade reglementen för styrelse och nämnder kl 11:15 df SID 3(15)

4 Säkerhet och trygghet definieras i policyn som tillstånd vid vilken risk för skada på person, eller sak, är begränsad till en medvetet accepterad nivå. Av tjänsteutlåtandet som finns med i beslutet så framgår att säkerhet genomsyrar alla processer i Landstinget Sörmland. Policyn ska ange organisationens viljeinriktning. Identifierade risker och säkerhetsbrister som kan påverka organisationens förmåga att utföra sina uppdrag bör hanteras proaktivt. Ett övergripande förhållningssätt till riskhantering och säkerhet innebär, enligt tjänsteutlåtandet, att individuella anpassningar i efterhand, eller efter incidenter, inte behöver ske i den omfattning som då säkerhetsbehov inte respekteras i processarbetet. Det framgår inte var ansvaret för att kartlägga och identifiera risker och säkerhetsbrister ligger. För mer detaljer och riktad information hänvisar policyn till beslutade riktlinjer inom brandskydd, personsäkerhet, informationssäkerhet, kontinuitet och övrigt regelverk kring säkerhet. Målsättningen anges med följande tre punkter; En medveten och välutbildad personal i en miljö som är anpassad efter människan och verksamhetens risker efter behov, utgör norm för hur säkerhets- och trygghetsarbetet bedrivs. Lagar, förordningar och föreskrifter utgör lägsta nivå i Landstinget Sörmlands säkerhets- och trygghetsarbete. En ständig dialog om människans och verksamhetens behov ger förutsättningar för upprätthållande av en skälig säkerhets- och trygghetsnivå. Några mätbara målvärden och/eller indikatorer anges inte policyn. Riktlinjer kopplade till policyn 4 stycken riktlinjer antogs av landstingsstyrelsen 4 i samband med att säkerhetspolicyn behandlades; informationssäkerhet, brandsäkerhet, personsäkerhet samt robusthet-kontinuitet. Riktlinjerna ska vara en vägledning för hur säkerhetsarbetet ska utvecklas i enlighet med föreslagen säkerhetspolicy. Riktlinjerna är sedan, enligt landstingsstyrelsens beslut, tänkta att kompletteras med regelverk som ska påverka utförandet av landstingets 4 LS 12/2013, Riktlinjer säkerhetsarbete Landstinget Sörmland SID 4(15)

5 säkerhetsarbete i form av ett mer systematiskt och proaktivt säkerhetsarbete. Dessa regelverk finns ännu inte framtagna. Nedan följer i korthet några iakttagelser för respektive riktlinje framförallt vad gäller Säkerhetsenhetens roll och ansvar. Informationssäkerhet Informationssäkerhet syftar till att värna kontinuiteten i verksamheten genom att skydda informationshanteringen mot en mängd yttre och inre hot. I Landstinget Sörmland, är enligt riktlinjen, informationen allt från den enskildes kunskaper till information på papper och i IT-system. Riktlinjen är styrande för hela landstinget och dess bolag och ska även tillämpas av de som arbetar på uppdrag av Landstinget Sörmland. Ansvaret för detta är respektive chefs i enlighet med säkerhetspolicyn enligt informationssäkerhetsansvarig. Landstinget har e-kurser för att öka kunskaperna om informationshantering i landstinget och vilka krav som ställs på den enskilde medarbetaren, chefer och landstinget som organisation. Uppföljningen av dessa har enligt informationssäkerhetsansvarig legat på förvaltningarna. Vi har inte kunnat finna att någon statistik rapporterats kring i vilken utsträckning e-kurserna för informationshantering har genomgåtts. 10 listade punkter med regler för informationssäkerhet som ska finnas på övergripande nivå inom landstinget ska tas fram och vara beslutade av landstingsdirektör eller förvaltningschef. Enligt informationssäkerhetsansvarig har arbetet påbörjats och några ska bli klara under hösten. Ansvaret för genomförande och tillsyn av informationssäkerheten följer det delegerade verksamhetsansvaret. Uppföljning av informationssäkerhetsarbetet ska genomföras årligen, dels genom egenkontroller i respektive verksamhet dels med hjälp av säkerhetsdialogen, riktade undersökningar och mätningar. Denna uppföljning ska sammanställas av informationssäkerhetsansvarig och rapporteras till landstingets ledning. Informationssäkerhetsansvarig i landstinget har till uppgift att samordna arbetet med informationssäkerhet i landstinget med IT-säkerhetsansvarig. I rollen ingår också att ansvara för samordning och utveckling av informationssäkerhetsarbetet, förvalta generella styrande dokument, representera landstinget externt i dessa frågor. SID 5(15)

6 Landstingsdirektören har det övergripande ansvaret för verkställigheten av informationssäkerhetsarbetet och vidare ett kontrollansvar för att tillse att utförandet av informationssäkerhetsarbetet följer det delegerade verksamhetsansvaret. Enligt riktlinjen ska det finnas regler, rutiner och instruktioner som tydligt visar på ansvar och tillvägagångssätt och återkoppling, mätning, revision och granskning av informationssäkerheten i landstinget för efterlevnad och kontroll. Kontinuerlig återkoppling ska ske, dock minst en gång om året och rapporteras till landstingsdirektör alternativt landstingsstyrelsen eller ansvarig nämnd. Hur detta ska ske är inte fastställt ännu och informationssäkerhetsansvarig bedömer att detta kommer att vara en del i delegationsarbetet för informationssäkerhet och säkerhet i stort. Brandsäkerhet En annan formulering avseende giltigheten än för Riktlinje informationssäkerhet; är styrande för hela landstinget och dess bolag (överstruken text finns i Riktlinje för brandsäkerhet) och ska även tillämpas av de som arbetar på uppdrag av Landstinget Sörmland vilket ska regleras genom avtal (understruken mening finns inte i Riktlinje för informationssäkerhet). De vi intervjuat känner inte till anledningen till att skrivningen för giltigheten är olika riktlinjerna. Säkerhetschef ansvarar för samordning och utveckling av brandskyddsarbetet i landstinget samt förvaltar generella styrdokument för personsäkerheten (felskrivet i beslutad riktlinje bör vara brandsäkerheten) genomföra säkerhetsdialoger, rapportera till landstingets ledning med förslag på övergripande åtgärder. E-kurser har skapats inom brandsäkerhet. Vi har inte kunnat finna att någon statistik rapporterats kring i vilken utsträckning e-kurserna har genomgåtts. Landstingsövergripande regler för brandskydd 5, beslutade av landstingsdirektör, som förtydligar hur brandskyddsarbetet ska bedrivas finns att tillgå under Säkerhetsenheten på Insidan. Av brandskyddsreglerna framgår att en organisation finns för brandskyddsarbetet i form av utbildade brandskyddskontrollanter, eldsjälar, ute i verksamheterna. Som resurs och samordnare finns sedan en brandskyddsledare som ingår i Säkerhetsenheten. Brandskyddsledaren ska fungera samordnande, avhjälpande och konsulterande i landstingets brandskyddsarbete. 5 Landstingsdirektörens delegationsbeslut nr 10/2006, Brandskyddsregler och riktlinjer för Landstinget Sörmland SID 6(15)

7 Säkerhetsenheten ansvarar för utformning och förvaltning av Landstingets Sörmlands brandskyddsregler och riktlinjer samt utövar samordning, tillsyn, uppföljning och kontroll av landstingets övergripande brandskydds- och säkerhetsarbete enligt dokumenterade befogenheter. Enligt säkerhetschefen är dokumenterade befogenheter en äldre skrivning som bör ses över i samband med framtagande av nya regler. Säkerhetschef ansvarar för att regelbundet informera politiker och tjänstemannaledning om landstingets brandskyddsarbete. I händelse av verksamhetspåverkande incidenter eller annat, skall dessa skyndsamt rapporteras enligt brandskyddsreglerna. Personsäkerhet Samma formulering för giltigheten som för Riktlinjen brandsäkerhet vilken alltså skiljer sig från Riktlinje informationssäkerhet Personsäkerhetsarbetet utgår, förutom från säkerhetspolicyn, bland annat från arbetsmiljölagstiftning. Även inom detta område har e-kurser skapats för att öka kunskaperna. Vi har inte heller här kunna finna statistik på hur många som genomgått dessa kurser. Landstingsövergripande regler för personsäkerhet, beslutade av landstingsdirektör, som förtydligar hur personsäkerhetsarbetet ska bedrivas ska finnas att tillgå på Insidan. Den instruktion om arbetsplatsens arbete med att minimera våld, och hot om våld i Landstinget Sörmland som finns på Insidan idag har inte beslutats av landstingsdirektör vad vi har kunnat finna. Den har inte heller något diarienummer. Detta bör åtgärdas. Landstingsdirektören har kontrollansvar att tillse att utförandet av arbetet följer det delegerade verksamhetsansvaret. Säkerhetschefen ansvarar för samordning och utveckling av personsäkerhetsarbetet i landstinget. Det åligger denne att förvalta generella styrdokument för personalsäkerheten. Säkerhetschefen ska via säkerhetsdialoger inhämta uppgifter om personalsäkerhetsläget i Landstinget Sörmland, samt dess omvärld, och rapportera till landstingets ledning med förslag till övergripande åtgärder. SID 7(15)

8 Robusthet-kontinuitet Riktlinjen är mer kortfattad än de övriga och innehåller inte någon formulering om giltighet. Detta beror enligt säkerhetschefen på att kontinuitet är mer likt det övergripande begreppet säkerhet än något av de andra specifika områdena. Kontinuitet är att analysera behov och resurser för att försöka hitta sin lägsta tolerabla nivå, och sin tålighet vid ev. störning. Ett arbete som alltså inbegriper traditionellt säkerhetsarbete, aktuellt verksamhetsuppdrag, fysiska förutsättningar, medvetenhet etcetera. Inom ramen för dessa riktlinjer bör det finnas landstingsövergripande regler, beslutade av landstingsdirektör, som förtydligar hur kontinuitetsarbetet ska bedrivas. Detta finns inte ännu och enligt säkerhetschefen måste ledningen först tillse att kontinuitetsarbetet är utlagt på rätt funktioner, och formuleras som uppdrag. Av riktlinjen framgår inga nivåer av ansvar, ansvarsområden och kontrollansvar utan enbart hänvisning till det delegerade verksamhetsansvaret. Detta förklaras på samma sätt som ovan. Det vill säga ledningen bör klargöra vilka funktioner som handhar kontinuitetsarbetets stöttande delar. Kontinuitetsplanerare anställs för närvarande av Säkerhetsenheten och en befattningsbeskrivning håller på att skapas. Här kan också uppdraget för Enheten för kris- och katastrofberedskap (EKKB) komma att beröras. SÄKERHETSENHETENS UPPDRAG, MÅL OCH FÖRUTSÄTTNINGAR Uppdrag Säkerhetsenheten finns inom landstingets ledningsstab. Nuvarande organisation för ledningsstaben har sitt ursprung i den förändring som genomfördes år Då bildades en gemensam hälso- och sjukvårdsorganisation i Sörmland och en för hela landstinget strategisk och övergripande tjänstmannaledning, Lednings- och verksamhetsstöd 6. Inom Lednings- och verksamhetsstöd skulle stabsfunktioner finnas som tillhandahöll särskild expertis inom olika område. Bland dessa områden fanns säkerhet. Staberna har, enligt landstingsstyrelsens beslut, särskilt ansvar för de processer, rutiner och hjälpmedel som krävs för ledning och styrning såsom att säkerställa fungerande system för uppföljning. 6 Landstingsstyrelsen 59/2004, En gemensam hälso- och sjukvårdsorganisation i Landstinget Sörmland SID 8(15)

9 I och med ett administrativt beslut 7 från landstingsdirektören några år senare återgick vissa av stabsfunktionerna till att finnas i hälso- och sjukvårdens egen ledning, inom det som kallas Lednings- och verksamhetsstöd. Säkerhetsenheten ingår inte bland dessa stabsfunktioner utan ligger kvar under landstingsstyrelsen. För närvarande pågår ett förändringsarbete inom Landstingets ledningsstab och en uppdelning med en förvaltning innehållande stödfunktioner och en stab med strategiska funktioner. Vad vi erfar kommer Säkerhetsenheten att återfinnas som stödfunktion i förvaltningsdelen. Vi har inte kunnat finna något egentligt aktuellt formulerat uppdrag för Säkerhetsenheten. Någon verksamhetsplan finns inte heller upprättad för Forum för detta saknas enligt säkerhetschefen och enheten formar idag sitt eget arbete. Vi har ur ett äldre budgetdokument 8 funnit följande formulering: Säkerhetsenheten är ledningens resurs i säkerhets- och riskhanteringsfrågor. Enheten ska se till att gällande lagstiftning kring säkerhet och säkerhetsskydd efterlevs samt ansvara för myndighetskontakt samt framtagande av styrdokument för säkerhetsfrågor. Enheten ansvarar för landstingets försäkringsfrågor både externt och internt samt ska biträda verksamheterna i säkerhets- och försäkringsfrågor. Säkerhetschefen och informationssäkerhetsansvarig uppfattar att de har tre delar i sitt uppdrag strategisk förbättring, rådgivning inklusive utbildning samt kontroll. Huvuddelen av tiden läggs på rådgivning och utbildning men de önskar att mer tid fanns till strategisk förbättring. Kontrollmomentet skulle de helst se att någon annan hade i uppdrag då det är en inbyggd konflikt att kontrollera de rutiner de själva varit med att gett råd kring och utbildat landstingets anställda i. Enligt säkerhetschefen har enheten inte heller mandat att tvinga någon till att göra på ett visst sätt. Säkerhetsenheten upphandlar och följer upp avtal avseende hela landstinget för sakförsäkringar, väktartjänster, värdehantering och larmtjänst. Upphandlingen sker med hjälp av Upphandlingsenheten. Utbildningstjänster som köps in har hitintills inte upphandlats men enheten är medveten om att detta förmodligen bör göras framöver enligt lagen om offentlig upphandling. Enheten har kontinuerlig kontakt med Upphandlingsenheten. Säkerhetsenheten genomför så kallade säkerhetsdialoger inom hälso- och sjukvården, ute på basenhetsnivå, vartannat år. En modell med kontrollfrågor, framtagen tillsammans med landstingets försäkringsförmedlares riskingenjörer, gås igenom av säkerhetscontroller med respektive verksamhetschef (93 stycken). Enligt säkerhetschefen så är 7 LS-LED09-017, Administrativt beslut nr 1/09, Landstinget Sörmlands tjänstemannaorganisation från och med den 1 januari LS 213/2009, Landstingsstyrelsens budget 2010 SID 9(15)

10 inte resultatet alarmerande, men förbättringspotential finns. Det är främst inom områdena personsäkerhet och brandskydd förbättringsområden finns enligt deras egen sammanställning. Säkerhetsdialogerna genomförs inte inom övriga förvaltningar inom landstinget vad vi erfar. Vi har heller inte kunnat finna att resultatet av dialogerna presenterats samlat för landstingsstyrelse eller tjänstemannaledningen. Resultatet har inte heller rapporterats i delårs- eller årsrapport. Enligt säkerhetschefen har detta inte efterfrågats. Säkerhetsansvaret följer det normala linjeansvaret. Någon naturlig grupp säkerhetsansvariga för olika delar av landstinget finns inte som mottagare av information och kunskapsspridning förutom inom området brandsäkerhet. Där finns så kallade eldsjälar som utbildas inom hela landstinget. I övrigt är det upp till varje enskild verksamhet att organisera sitt arbete och sin beredskap för dessa områden. Inom exempelvis Regionsjukhuset Karsudden finns egna säkerhetsansvariga och där fungerar enheten enbart som rådgivare. Däremot är det inte helt tydligt om enheten har något kontrollansvar över hur säkerheten fungerar i dessa fall. Säkerhetsenheten önskar att de skulle kunna arbeta mer med strategiskt systematiskt säkerhetsarbete i förebyggande syfte och mindre med brandkårsutryckning när incidenter redan skett. Den rådgivande och utbildande rollen som enheten har gäller även mot landstingets helägda bolag. Däremot är säkerhetschefen inte säker på hur säkerhetsfrågor för den nya Kollektivtrafikmyndigheten ska hanteras och vem som ansvara för detta. Enhetens uppdrag omfattar många områden inom olika lagrum. De upplever ibland en svårighet i ett följa med i förändrad lagstiftning. Där skulle de önska en utökad service från landstingets juridiska enhet med att sålla och uppmärksamma lagändringar. Ett uppdrag för Säkerhetsenheten bör formuleras med tydlig koppling till Säkerhetspolicyn med tillhörande riktlinjer. Det måste då tydliggöras i vilken utsträckning det är enhetens uppdrag att säkerställa att policy och riktlinjer följs. Utifrån uppdraget bör sedan en verksamhetsplan upprättas som ger möjlighet till tydlig prioritering av enhetens uppgifter. SID 10(15)

11 Mål I landstingets ledningsstabs budget för 2013 finns en indikator där säkerhetschefen är indikatoransvarig. Det som rapporteras är, under personalperspektivet, antal säkerhets- eller trygghetsutbildade medarbetare. Målvärdet är satt till 1800 stycken för år För år 2012 var motsvarande värde Som kommentar i 2012 års återrapportering står att de uppnått målet med marginal. Efterfrågan på brand- samt hot- och våldsutbildning är stort. Uppgift saknas kring hur stor del av landstingets personal som genomgått olika kategorier av säkerhets- och trygghetsutbildningar och hur spridningen inom organisationen ser ut. Några andra målformuleringar har vi inte kunnat finna. I en verksamhetsplan finns möjlighet att sätta upp mätbara mål. Enheten arbetar utifrån den så kallade säkerhetstrappan 9 och det övergripande målet enligt säkerhetschefen är att verksamheterna ska bli kloka kunder som kan göra bra beställningar ur säkerhets- och trygghetssynpunkt när det gäller till exempel om- till- och nybyggnationer av lokaler och utveckling av it-stöd. Säkerhetsenheten har inga egna kontrollområden i den interna kontrollplan som beslutats av landstingsstyrelsen för Landstingets ledningsstab. Detta bör övervägas. Kontrollmomenten är ett sätt att kontrollera och utveckla sina processer. Förutsättningar Bemanning Inom enheten arbetar för närvarande 5 personer som var för sig verkar inom olika områden. Följande tjänster finns på enheten; Säkerhetschef och försäkringsansvarig Säkerhetscontroller Informationssäkerhetsansvarig Brandskyddsledare Brandskyddscontroller Dessutom har, från mitten av september, en kontinuitetsplanerare anställts. 9 Bilaga 1 till denna rapport, Säkerhetstrappan ett enkelt verktyg för förtydligande och förenklande av verksamhetens behov och kunskapsnivå SID 11(15)

12 Enheten har gått igenom sina processer och arbetat upp en bra struktur på landstingets intranät, Insidan, vilket alla i landstinget når via Vårt arbetssätt, det vill säga i landstingets ledningssystem. Där finns rutiner och styrande dokument för områdena brandskydd, informationssäkerhet, hot och våld, stöld, inbrott och rån, robusthet samt försäkring. Som enhetens starka sidor lyfter säkerhetschefen och informationssäkerhetsansvarige att de är mycket ute i verksamheten och har bra kontakter som möjliggör bra dialog. Bra är också att de har möjligheten att inte vara så styrda. Som enhetens svaga sida lyfts den svaga styrning de upplever mellan policyn och den strategiska verksamhetsplaneringen. Svårt att styra utvecklingen av arbetet mot att arbeta proaktivt. De saknar också ledningens styrning och dialog kring vad som är acceptabla risknivåer inom organisationen. Finansiering Säkerhetsenhetens intäkter kommer dels från landstingsbidrag som är tänkt att täcka löne- och lokalkostnader. Sedan år 2006 har enheten upphandlat tjänsterna för sakförsäkring, väktare, värdehantering och larmtjänst. Kostnaderna hade dessförinnan hanterats ute i respektive förvaltning och inte upphandlats samordnat. Säkerhetsenheten debiterar sedan dess 2006 års kostnad till förvaltningarna. Skillnaden mellan de nya lägre upphandlade avtalsnivåerna och tidigare kostnadsnivå skapar ett utrymme för Säkerhetsenheten att använda till skadebegränsande åtgärder. Bland dessa ingår bland annat utbildning samt vakttjänster. Vi har i samband med denna granskning noterat att det enbart är RE10, hälso- och sjukvårdsförvaltningens verksamhet inom länssjukvårdsnämnden och inte RE14, hälso- och sjukvårdsförvaltningens verksamhet inom primärvårdsnämnden som debiteras denna avgift. En del av avgiften till RE10 borde av konkurrensneutralitetsskäl debiteras primärvården då denna ska bära sina egna kostnader. Modellen bör ses över avseende primärvården. Sedan modellen infördes har landstinget också bolagiserat sin serviceverksamhet, Sörmland Landstingsservice AB, och sin tandvårdsverksamhet, Folktandvården Sörmland AB. Dessa enheter faktureras och vad vi har kunnat finna debiteras utgående moms på denna försäljning av tjänst. Däremot kan det finnas skäl att se över modellen för bolagen. Dels ur skatterättslig synvinkel då bolagen inte betalar utifrån det SID 12(15)

13 de faktiskt får utan utifrån en schablon som förmodligen är högre än faktiska kostnader. Dessutom är bolagen egna juridiska personer och försäkringsavtal och motsvarande bör tecknas separat för varje juridisk person. Av delårs- och årsrapporter har vi inte kunna finna att statistik för säkerhetskostnader rapporteras. Inte heller någon rapportering av kostnader för individuella händelser och genomförda åtgärder och liknande. KOMMITTÉN FÖR ROBUSTHETS- OCH KONTINUITETSFRÅGOR I november 2012 gav landstingsdirektören ett uppdrag 10 till Säkerhetsenheten och Enheten för kris- och katastrofberedskap. Uppdraget omfattade en kartläggning av nuläget av enheternas huvudprocesser samt en analys och ett framtaget förbättringsförslag. Detta mot bakgrund av att, det enligt uppdragsgivare, saknas ett robust övergripande risk- och sårbarhetsarbete i landstinget. Slutrapporten godkändes den 27 februari I samband med detta beslutades att inrätta ett forum för robust säkerhets- och kontinuitetsplaneringsarbete. Forumet har fått namnet Kommittén för robusthets- och kontinuitetsfrågor och går under förkortningen Kroken. Förbättringsförslaget enligt slutrapporten ska öka möjligheterna att framgångsrikt och på ett strukturerat sätt utveckla hela verksamheten till det Robusta sjukhuset. Uppdraget för Kroken ser alltså primärt ut att ha ett sjukvårdsperspektiv. Men syftet med forumet anges till att bereda, besluta och följa upp landstingsövergripande robust- och kontinuitetsärenden. Det är oklart om samordningsarbetet även omfattar övriga verksamheter i landstinget. Vi har i sammanhanget noterat att samtliga landstingets förvaltningar utom Kultur och utbildning finns bland intressenterna i det ursprungliga uppdragsdirektivet. I slutrapporten finns en specifikation över kunder intressenter och vad vi erfar avser den enbart processen ur hälso- och sjukvårdsförvaltningens perspektiv. Frågor som är vårdrelaterade och patientsäkerhetsfrågor (metoder, processer, läkemedel med mera) hanteras inte i forumet. Däremot är säkerhet i stort en integrerad del i patientsäkerhetsarbetet som förutsätter god trygghet och robusthet inom brand, informationshantering och personlig säkerhet. 10 LS-LED12-608, Uppdragsdirektiv Genom framtagen processkartläggning av nuläget inom EKKB och Säkerhetsenheten hitta formerna för ett väl strategiskt fungerade säkerhetsarbete inom Landstinget Sörmland SID 13(15)

14 Kroken har haft ett konstituerande möte i slutet av maj. Landstingsdirektören är ordförande. I kommittén finns sedan representanter för Landstinget Serviceaktiebolag, FM-enheten, IT-enheten, Patientsäkerhetsenheten, Chefsläkarna, Enheten för kris- och katastrofberedskap samt säkerhetschefen och informationssäkerhetsansvarig från Säkerhetsenheten. Forumet ska sammanträde 4 gånger per år och det bör, enligt slutrapporten, finnas en digital plattform på landstingets intranät, Insidan. Vi har inte kunnat finna någon samlad information om kommittén på Insidan vid vår granskning. Vi ser positivt på inrättandet av Kroken som ett forum för att lyfta strategiska frågor i ett landstingsövergripande forum. Inte minst mot bakgrund av de stora investeringar som planeras under de kommande åren inom utvecklingsarbetet Framtidens hälso- och sjukvård. INTERN KONTROLL - ÖVERGRIPANDE Landstingsstyrelsen har utfärdat anvisningar 11 för nämndernas arbete med intern kontroll. Av beslutet framgår att de interna kontrollplanerna ska utarbetas utifrån identifierade risker som ur olika perspektiv kan äventyra måluppfyllelsen eller efterlevnaden av lagstiftning och policys. Av samma beslut framgår att genom att identifiera och analysera risker som ur olika perspektiv kan äventyra måluppfyllelsen, kan riktade kontroller och uppföljningar göras där risken bedöms som hög att fel med stora konsekvenser kan uppstå. Med ett sådant systematiskt arbetssätt kan innehållet i de interna kontrollplanerna breddas och riktas mot områden som bedöms som riskfyllda. Områden som tidigare visat sig fungera väl kan då stå tillbaka för nya obeprövade delar. Vi har översiktligt granskat de interna kontrollplanerna för 2013 för landstingsstyrelse och nämnder. Säkerhetsfrågor finns med i begränsad omfattning. Nämnden för kultur- och utbildning har ett kontrollområde kring övergripande uppföljning av arbetet rörande skyddsfrågor. Landstingsstyrelsens interna kontrollplan innehåller inga kontrollområden kring säkerhet vilket är anmärkningsvärt mot bakgrund av att styrelsen har det övergripande ansvaret för säkerhets- och trygghetsfrågor. Ur ett riskoch väsentlighetsperspektiv borde kontrollområden inom säkerhet, robusthet och kontinuitet, också övervägas inom FM-enhetens ansvarsområden för fastighetsförvaltning. Vår uppfattning är att kontrollområden inom dessa områden bör få ett större utrymme i de interna kontrollplanerna inom hela landstinget. 11 LS 172/2009, Nämndernas fortsatta budgetarbete för 2010, styrtal och intern kontroll SID 14(15)

15

16