Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Relevanta dokument
Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Intern styrning & kontroll samt internrevision i staten

Regler och riktlinjer för intern styrning och kontroll vid KI

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Bilaga Från standard till komponent

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Tillväxtverkets riktlinjer för intern styrning och kontroll

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser

Syfte - att stödja och utveckla myndigheternas arbete med risk- och sårbarhetsanalyser

Bygga intern styrning och kontroll Från kaos till kontroll på ett år. Katrin Westling Palm Stephan Sandelin

Handledning Ansvaret för intern styrning och kontroll. Ansvaret enligt myndighetsförordningen och förordningen om årsredovisning och budgetunderlag

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Emelie Holmlund Dnr 2017/346. Revisionsplan 2017 Internrevisionens riskanalys och revisionsplan

Handlingsplan för Samhällsstörning

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Informationssäkerhetspolicy för Umeå universitet

Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern

Revisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerheten i den civila statsförvaltningen

Förenklad rapportering av regionernas riskoch sårbarhetsanalys 2019

Guide för arbete med Risk- och väsentlighetsanalys

REVISION AV OUTSOURCAD VERKSAMHET - EXEMPEL UR VERKLIGHETEN

Policy för internkontroll för Stockholms läns landsting och bolag

Internrevisionen Förslag till revisionsplan för år 2008 Christina Wannehag Dnr B 5 350/08

Revisionsrapport Karolinska Institutet Stockholm

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Frågor att ställa om IK

Kontinuitetshantering ur ett samhällsperspektiv SIS Clas Herbring: MSB Enheten för skydd av samhällsviktig verksamhet

Ledningssystem för Informationssäkerhet

Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinjer för intern kontroll

Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinje för intern styrning och kontroll

Strategi för förstärkningsresurser

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Riktlinjer för intern styrning och kontroll vid SLU

Systematiskt arbete med skydd av samhällsviktig verksamhet

Ledningssystem för Informationssäkerhet

Risk- och sårbarhetsanalyser Förmågebedömning

Handledning Samarbete om risker i verksamheten

Konsekvensutredning för föreskrift om kommuners och Bandstings risk- och sårbarhetsanalyser

Riktlinjer för intern kontroll

Lokala regler och anvisningar för intern kontroll

Riktlinjer för intern styrning och kontroll

Kommunernas krisberedskap - uppföljningsprocessen

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Nätverk för intern styrning och kontroll. Nätverksträff 1,

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Stöd för arbetet med regleringsbrevsuppdrag Informationssäkerhet i RSA

Regeringsuppdrag. Rapport Tillämpningen av förordningen om intern styrning och kontroll ESV 2017:65

Stockholms läns landsting i (i)

Föredragande borgarrådet Sten Nordin anför följande.

Internrevisionsförordning (2006:1228)

Instruktion för internrevisionen vid Malmö högskola

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning Sammanfattning

Revisionsplan för internrevisionen vid Sida Verksamhetsåret 2009

Styrdokument för krisberedskap i Timrå kommun. Inledning. FÖRFATTNINGSSAMLING Nr KS 11 1 (9) Fastställd av kommunstyrelsen , 240

Övergripande riskhantering i Göteborgs Stad

Nya regler för redovisning av intern styrning och kontroll i årsredovisningen. Seminarium med myndigheter 4 december 2018

Kommunernas krisberedskap - uppföljningsprocessen. Tomas Ahlberg

Reglemente och tillämpning för intern styrning och kontroll. I Upplands-Bro kommun

LIDINGÖ STADS FÖRFATTNINGSSAMLING F 20 / 2017 REGLEMENTE FÖR INTERN KONTROLL I LIDINGÖ STAD

Riktlinje för Riskanalys och Intern kontroll

REVISIONSPLAN FÖR ÅR 2012

Välkommen till enkäten!

Informationssäkerhetspolicy

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll

Informationssäkerhetspolicy inom Stockholms läns landsting

Revisionsplan för Linköpings universitet 2008.

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Riktlinjer för internrevisionen vid Sida

Arbetet med intern styrning och kontroll

Frågor om internrevision och intern styrning och kontroll 2019

Svensk författningssamling

Policy fo r krisberedskap KOMMUNFULLMÄKTIGE

Intern styrning och kontroll

Ledningen i fokus - starkare styrning krävs för att utveckla statlig verksamhet med bra och säkra IT-/e-tjänster

Intern kontrollplan och riskbedömning. Riktlinjer Fastställda i Kommunstyrelsen

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy för Ystads kommun F 17:01

Kungsörs kommuns författningssamling Nr D.07

Styrdokument för krisberedskap i Markaryds kommun

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

ISO 31000, ny standard i Trafikverket? Lennart Romin

Riktlinje för intern styrning och kontroll

Konsekvensutredning för föreskrift om kommuners och landstings risk- och sårbarhetsanalyser

Informationssäkerhet. Ett prioriterat granskningsområde. Ann-Marie Dahlros,

Riktlinjer för intern styrning och kontroll, ISK, för landstingsstyrelsens förvaltning.

Policy för Essunga kommuns internkontroll

Revisionsrapport. Migrationsverkets årsredovisning 2011

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll

Transkript:

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015 Att integrera RSA i arbetet med intern styrning och kontroll samt i myndighetens styrprocess Michael Lindstedt Myndigheten för samhällsskydd och beredskap MSB Controllerfunktionen

Presentationen Varför alla dessa riskanalyser? - Förmåga att bedriva verksamhet Myndighetsledningen ansvarar och intygar - Med rimlig säkerhet fullgöra kraven Styra med stöd av risker -Så här gör MSB

Varför alla dessa riskanalyser?

Varför alla dessa riskanalyser? Samtliga riskanalyser har, i olika omfattning, som syfte att identifiera risker som kan komma att påverka myndighetens förmåga att bedriva verksamhet. För att nå våra mål och uppfylla syftet med vår verksamhet Skapar värden och nya möjligheter För att fatta bättre beslut För att vi måste! Ett sätt för regeringen att styra.

Regeringens inriktning i budgetproposition (2010, 2011, 2012, 2013) Arbetet med risk- och sårbarhetsanalyser syftar till att öka medvetenheten och kunskapen hos beslutsfattare och verksamhetsansvariga om hot, risker och sårbarheter inom det egna verksamhetsområdet samt att skapa ett underlag för egen planering. Det är regeringens uppfattning att arbetet att utveckla och upprätthålla en god krisberedskap bör utgöra en integrerad del av verksamhetsplaneringen hos myndigheter, kommuner och landsting. Arbetet med risk- och sårbarhetsanalyser bör bedrivas samordnat med riskanalyser som regleras i annan författning.

Riskhantering (RSA och FISK) och kontinuitetsplanering på MSB Beslut och givna inriktningar: RSA 2013 Upprätta kontinuitetsplaner för MSB:s identifierade samhällsviktiga verksamheter, särskilt prioriterat. Arbetet ska ha särskilt fokus på att säkerställa funktionalitet och kontinuitet i MSB:s beredskapsfunktioner och i de system som stödjer de samhällsviktiga verksamheterna. Länka samman arbetet med olika riskanalyser, upprättande av kontinuitetsplaner och genomförande av åtgärder, att närmare integreras med myndighetens styrprocess. Denna samordning av våra interna processer ska fortsätta att utvecklas även efter 2013 i syfte att skapa ett riskmedvetet ledarskap och styrning inom myndigheten.

MSB VP 2014 Utifrån MSB:s RSA 2013 identifiera de insatser som är av väsentlig betydelse för att upprätthålla kontinuitet i MSB:s identifierade samhällsviktiga verksamheter och med tonvikt på de kritiska interna system (både interna processer och teknisk infrastruktur) som är nödvändiga för upprätthållandet. Utveckla MSB:s RSA inom ansvarsområdena kommunal räddningstjänst och samhällets informationssäkerhet

RSA en i mängden av riskanalyser

Vad är det som hotar och vad ska skyddas? FISK RSA Omständigheter som hotar verksamheten Det som hotar MSB:s kärnvärden och prioriterade åtaganden Det som hotar - Risker, hot och sårbarheter - Kritiska beroenden Kärnvärden i MSB - Effektiv verksamhet och enligt gällande rätt. - Når målen och utför uppdragen. - Redovisar på ett rättvisande sätt. - Hushåller med statens medel. Principer för ansvar och att vidta åtgärder MSB:s styrprocess MSB:s samhällsviktiga verksamheter - Beredskaps- och lägesbildsfunktioner - Hantera och förebygga it-incidenter - Stöd till samordning - Informationssystem - Upprätthålla teknisk kritisk infrastruktur

Kontinuitetshantering Reducera avbrottstid Reducera konsekvens

Kontinuitetshantering en väsentlig komponent i myndighetens systematiska arbete med risker Hantera verksamhetens hot och möjligheter Den resilienta organisationen

Hantera hot och möjligheter Systematiskt arbete med MSB:s risker Hantera incidenter o händelser Resilient organisation Säkerställa kontinuitet Aktiverar och larmar

Sammanfattning Riskanalyser bidrar till att skapa värden och möjligheter Ledningen ger inriktning Riskanalyser och kontinuitetsplanering är grundläggande komponenter i ett systematiskt (säkerhets-) arbete Samordning kan skapa synergier och bättre överblick Riskanalyserna är regelstyrda och tvingande

Myndighetsledningen ansvarar och intygar

Generaldirektörens intygande Vad är det GD ska bedöma? Att myndigheten med rimlig säkerhet fullgör de krav som framgår av 3 myndighetsförordningen Att verksamheten bedrivs: effektivt och enligt gällande rätt och de förpliktelser som följer av Sveriges medlemskap i EU redovisas på ett tillförlitligt sätt samt att myndigheten hushållar väl med statens medel

Myndighetsledningen skall: Myndighetsförordningen (4 ) 4. Säkerställa att det vid myndigheten finns en intern styrning och kontroll som fungerar på ett betryggande sätt

Intern styrning och kontroll 67 myndigheter (2014) 90% av de samlade utgifterna i stadbudgeten Förordning om intern styrning och kontroll (FISK, 2007) 2 den process som syftar till att myndigheten med rimlig säkerhet fullgör de krav som framgår av 3 myndighetsförordningen Internrevisionsförordning 4 Internrevisionen ska utifrån en analys av verksamhetens risker självständigt granska om ledningens interna styrning och kontroll är utformad så att myndigheten med en rimlig säkerhet fullgör de krav som framgår av 3 myndighetsförordningen.

Riskanalys i FISK:en Förordning om intern styrning och kontroll Riskanalys 3 En riskanalys skall göras i syfte att identifiera omständigheter som utgör risk för att de krav som framgår av 3 myndighetsförordningen (2007:515) inte fullgörs. ESV:s allmänna råd till 3 Riskanalys innebär att identifiera och värdera risker för att därefter ta ställning till om riskerna ska accepteras eller hanteras. Omständigheter utgör en risk när de påverkar myndighetens möjlighet att fullgöra uppgifterna, nå målen eller genomföra uppdragen för verksamheten.

Kontrollåtgärder Förordning om intern styrning och kontroll Kontrollåtgärder 4 Med ledning av riskanalysen skall åtgärder vidtas som är nödvändiga för att de krav som framgår av 3 myndighetsförordningen (2007:515) skall fullgöras med rimlig säkerhet. ESV:s föreskrifter till 4 Myndigheten ska vidta åtgärder för identifierade risker som inte kan accepteras. ESV:s allmänna råd till 4 Myndigheten bör göra en avvägning mellan den kostnad en viss åtgärd för med sig och den förväntade nyttan av åtgärden.

Uppföljning Förordning om intern styrning och kontroll Uppföljning 5 Den interna styrningen och kontrollen skall systematiskt och regelbundet följas upp och bedömas. Vid bedömningen skall iakttagelser som lämnas vid extern revision och internrevision beaktas.

Generaldirektörens intygande Förordning om årsredovisning och budgetunderlag (2 kap.) 8 att ledningen intygar att årsredovisningen ger en rättvisande bild lämna en bedömning av huruvida den interna styrningen och kontrollen är betryggande. Jag bedömer att den interna styrningen och kontrollen vid myndigheten är betryggande Jag bedömer att brister avseende den interna styrningen och kontrollen vid myndigheten föreligger på följande punkter

FISK bygger på synsättet i COSO (Committee of Sponsoring Organizations of the Treadway Commission) Internationellt ramverk Internal Control Integrated Framework Utgiven av COSO 1992, för att hjälpa företag och andra organisationer att bedöma och förbättra sina interna styr- och kontrollsystem. ERM Enterprise Risk Management 2004

Internal Control Integrated Framework ERM Enterprise Risk Management Integrated Framework Målkategorier Organisation COSO - Kontrollmiljö - Riskbedömning - Kontrollaktiviteter - Information och kommunikation - Övervakning (inkl. uppföljning och utvärdering) FISK - Riskanalys - Kontrollåtgärder - Uppföljning - Dokumentation COSO ERM - Intern miljö - Målformulering - Identifiering av händelser - Riskvärdering - Riskhantering - Kontrollaktivitet - Information och kommunikation - Övervakning Principer/komponenter Fokuserar ensidigt på den interna kontrollen som sådan Ett bredare och mer utvecklat ramverk (än IK) med fokus på risker i verksamheten

Sammanfattning Myndighetsledningen fullgör ansvaret för verksamheten 67 myndigheter svarar för 90% av de samlade utgifterna Riskhantering är obligatoriska moment COSO som bakomliggande ramverk

Styra med stöd av risker

MSB:s styrprocess Risk- och sårbarhetsanalys 1. Inrikta - Uppföljning av uppnådda resultat - Identifierade risker - Underlag per avd. 2. Planering - Inriktning och planeringsanvisningar - Konkretisering av mål - Risker, kompetens och resurser Intern styrning o kontroll Extern styrning Statliga Generella myndigheters regelverk riskhantering - Myndighetsförordning (2007:515) - FISK (2007:603) Säkerhetsanalys Specifik styrning -Förordn. med instr. Informationssäkerhet för MSB (2008:1002) -RB, RU. RSA vid höjd beredskap Internrevisionens granskn.? 1. Inrikta 2. Planering 4. Uppföljning 4. Uppföljning - Intern (löpande) och extern uppföljning - Uppföljningsdialoger (ISK och MSB RSA) 3. Genomföra 3. Genomföra - Utifrån MSB VP - Inriktning-och informationsdragning - Resultat - IR-granskning - ÅR

Regelstyrning Generella regelverk Specifik styrning Viktiga ingångsvärden för att inrikta: - Uppföljningsunderlag - Avd. underlag till inriktning - Uppnådda resultat och identifierade brister - NKI, verksamhetsanalys - Identifierade risker, sårbarheter, hot och beroenden GD:s planeringsanvisningar: - Prestationsmål - Riskanalyser och kontinuitet i verksamheten - Uppdrag - Preliminära budgetramar - Uppföljning av verksamheten GD:s planeringsinriktning: - Strategiska frågor för MSB - Brister och behov kopplat till förmågorna och effektmål - Större förändringar i verksamheter som påverkar resursbehovet - Viktiga åtgärder och aktörer i fokus - Risker/utmaningar som allvarligt påverkar - Åtgärder för att upprätthålla kontinuitet i SVV (RSA).

Regelstyrning Generella regelverk Specifik styrning 2. Planering: - Inriktning och planeringsanvisningar - Konkretisering av mål - Nedbrytning av risker till prestationsmålsnivå - Kompetens och resurser 3. Genomföra verksamhet: - Utifrån MSB:s VP - Informations- och inriktningsföredragningar - Fokus på resultat

4. Uppföljning: - Intern (löpande) och extern uppföljning - Uppföljningsdialoger (ISK och MSB RSA) - IR-granskningar - ÅR Generaldirektörens intygande - Med rimlig säkerhet fullgör de krav som framgår av 3, myndighetsförordningen - Intern styrning och kontroll som fungerar på ett tillfredsställande sätt - I en riskanalys identifiera omständigheter - Nödvändiga åtgärder

Hantering av risker och åtgärder i styrprocessen - Ingångsvärden i planeringsinriktning - Risker i planeringsanvisningar - GD-beslut reviderad VP (Kv. 1 och T2) - GD- beslut med anledning av IR-granskningar - GD - inriktningsföredragningar - ÅR GD:s intygande Genomföra åtgärder

System för planering och uppföljning - Stratsys

Sammanfattning Risker utgör viktiga ingångsvärden och beaktas i styrprocessens samtliga steg. Uppföljningsdialoger ger ledningen överblick IR granskningar utgör ett viktigt komplement Dokumentation och transparens är framgångsfaktorer och skapar ett samlat underlag för GD:s bedömning

Tack för er uppmärksamhet! Frågor?

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss