Outsourcing IT. Fullmäktiges revisionsfunktion Anders Thunholm, KPMG 2013-12-20. PROTOKOLLSBILAGA G Fullmäktiges protokoll 2013-12-20, 10



Relevanta dokument
Information om pågående granskning Outsourcing IT

Sveriges riksbank. Fullmäktiges revisionsfunktion Slutrapport Utvärdering av outsourcing av IT-drift KPMG AB

Guld- och valutareservsförvaltningen

Sveriges riksbank. Fullmäktiges revisionsfunktion Rapport Utvärdering av outsourcing av IT-drift KPMG AB

Punkt 15: Riktlinje för outsourcing. Riktlinje för outsourcing. Tjänsteutlåtande Diarienummer:

Punkt 19 Riktlinje för regelefterlevnad

Finansinspektionens författningssamling

Revisionsplan 2016/2017

Finansinspektionens författningssamling

Nya regler om styrning och riskhantering

Förstudie: Övergripande granskning av ITdriften

Granskning intern kontroll

Finansinspektionens författningssamling

Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem. Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Revisionsplan 2017/2018

Finansinspektionens författningssamling

Intern kontroll och riskbedömningar. Strömsunds kommun

Finansinspektionens författningssamling

Ansvarsutövande: Barn- och utbildningsnämnden Sundsvalls kommun

Svedala Kommun. Kapital- och likviditetsförvaltning. - Uppföljning av rapport från KPMG AB 8 juni 2012 Antal sidor: 12

Granskningsredogörelse Styrning och intern kontroll översiktlig granskning

Granskningsredogörelse Skellefteå museum AB

Pandium Capital AB RIKTLINJER FÖR INTERNREVISION

Instruktion för funktionen för regelefterlevnad

Policy för rekrytering av ledamöter till bankstyrelsen.

Övergripande granskning av IT-driften - förstudie

1.1.5 Policy för rekrytering av ledamöter till bankstyrelsen

Compliancefunktionen och de nya regelverken från FI om intern styrning och kontroll. Lina Rollby Claesson, Compliance Forum

Revisionsrapport. Attestrutiner. Östhammars kommun. Datum: Författare: Jonas Eriksson Carin Norberg

Regionstyrelsen efterlevnad av reglemente. Region Gävleborg

Arbetsordning för Finansinspektionen

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10

Revisionsrapport Granskning av styrdokument.

Ansvarsutövande: Överförmyndarnämnden

FSPOS & SOES - Beskrivning för att tydliggöra gränsdragning

Lämplighetsprövning i Solvens 2

Governance, Risk & Compliance EBA Guideline 44

Policy för styrelsens och ledningens lämplighetsbedömning och mångfald Policy 160

Finansinspektionens författningssamling

Revisionsrapport. Riksrevisionens granskning av Sveriges riksbank Inledning

REVISION AV OUTSOURCAD VERKSAMHET - EXEMPEL UR VERKLIGHETEN

Övergripande granskning IT-driften

Sala Sparbank. Valberedningspolicy

Övergripande granskning av ITverksamheten

Intern styrning och kontroll. Verksamhetsåret 2009

Anmälan om. schablonmetoden, operativ risk

Intern styrning och kontroll Policy

Borlänge kommun. Internkontroll KS Kontrollområde: Tydlig rubricering av ärenden, Nämndservice. Beslutad av kommunstyrelsen

Lokala regler och anvisningar för intern kontroll

Ansvarsutövande: Kommunstyrelsen Sundsvalls kommun

Policy för styrelsens och ledningens lämplighetsbedömning och mångfald

Reglemente för internkontroll

Policy för intern styrning och kontroll

Ansvarsutövande: Miljönämnden Sundsvalls kommun

VIRSERUMS SPARBANK Policy för styrelsens och ledningens lämplighetsbedömning och mångfald

Avesta kommun. Intern kontroll Uppföljning av revisionsgranskning

Projekt inom utvecklingsenheten

Remiss förslag till tydligare krav på clearingorganisationers hantering av operativa risker

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Funderingar runt Outsourcing & ISK? Thomas Andersson Tullverket IT-chef/CIO

Policy för styrelsens och ledningens lämplighetsbedömning och mångfald

Revisionsplan IR

Punkt 20: Riktlinje för klagomål. Riktlinje för klagomål. Tjänsteutlåtande Diarienummer:

Granskning av intern kontroll. Söderhamns kommun. Revisionsrapport. Februari Micaela Hedin Certifierad kommunal revisor

Beslut HSN HSN BILAGA 2 Intern kontrollplan för Hälso- och sjukvårdsförvaltningen 2014

Revisionsrapport Avtalstrohet

Ansvarsutövande: Nämnden för arbetsmarknad, vuxenutbildning och integration Sundsvalls kommun

Borlänge kommun. Internkontroll KS. Kontrollområde: Facklig samverkan. Beslutad av kommunstyrelsen

Finansinspektionens författningssamling

Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete

Revisionsrapport. IT-revision Solna Stad ecompanion

Plan för intern kontroll 2017

Projekthantering uppföljning

Ekonomi- och målstyrning inom barn- och. genomförd granskning

Ramverk för projekt och uppdrag

Granskning av upphandlingsverksamheten. Sandvikens kommun

KUNGSBACKA KOMMUN Nämnden för Teknik

Internkontrollplan 2019

01.2 Valberedningspolicy

Granskningsredogörelse Stadsrevisionen. Göteborg & Co Träffpunkt AB granskning av verksamhetsåret goteborg.

Policy för styrelsens och ledningens lämplighetsbedömning och mångfald

Riktlinjer för intern kontroll med tillämpningsanvisningar

Ansvarsutövande: Stadsbyggnadsnämnden

Policy och instruktioner för regelefterlevnad

Informations- och kommunikationsteknologi. Smedjebackens kommun

Uppföljning av revisionsrapporten "Investeringsprocessen Bollnäs Kommun

Förankring av handlingsplaner ska det verkligen vara nödvändigt? Uppdrag Psykisk Hälsa Fredrik Lindencrona

Granskning av intern kontroll

Finansinspektionens författningssamling

Myndigheten för samhällsskydd och beredskap

Länsförsäkringar Skåne

Reglemente för intern kontroll av ekonomi och verksamhet

Ansvarsutövande: Lantmäterinämnden Sundsvalls kommun

Interna affärer i livbolagen

Skellefteå City Airport AB

Fullmäktiges revisionsfunktion. Inledning. Bestämmelser i riksbankslagen. Bestämmelse i riksbankslagen Lagändring 2003

Emil Forsling Auktoriserad revisor. Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014

Landstingets ärende- och beslutsprocess

Bygga intern styrning och kontroll Från kaos till kontroll på ett år. Katrin Westling Palm Stephan Sandelin

Transkript:

Riksbankens diarienummer 2013-111-STA PROTOKOLLSBILAGA G Fullmäktiges protokoll 2013-12-20, 10 Outsourcing IT Fullmäktiges revisionsfunktion Anders Thunholm, KPMG 2013-12-20

Outsourcing IT drift Syfte 2012-2013 Utvärdera den planerade outsourcingen av IT med avseende på bankens kravställning kring organisation och tänkta styrning av uppdraget för att: Uppnå god intern kontroll Följsamhet med regler och best practice i den finansiella sektorn. 2013-2014 Fortsatt följa genomförandet av outsourcingen av IT-drift med avseende på bankens kravställning och tänkta styrning för följsamhet med avtal, interna och externa regler samt best practice i den finansiella sektorn. Avgränsning Bedömning av motiv och grunder för projektet och outsourcingen ingår ej. Granskning efterlevnad interna och externa upphandlingsregler ingår ej Utvärdering av projektstyrning ingår ej

Outsourcing IT- drift Revisionsfunktionens referensram Finansinspektionens (FI) allmänna råd om styrning och kontroll av finansiella företag, FFFS 2005:1, kapitel 7 Uppdragsavtal. EBAs nya regelverk för corporate governance i banker (GL44) som är under införande som ny föreskrift från FI. Erfarenhet av hur andra organisationen arbetar med outsourcing generellt och outsourcad IT-verksamhet specifikt. Vedertagna ramverk för intern styrning och kontroll.

Outsourcing IT - drift Genomförda aktiviteter 2012/2013 samt 2013/2014 Översiktlig analys av projektdokumentation och väsentliga delar av förfrågningsunderlaget. Översiktlig granskning av Riksbankens utvärdering av hur leverantörerna uppfyller bör-krav med koppling till styrning och uppföljning. Uppföljning av hur iakttagelser omhändertagits, dels i transitionsprojektet och dels i verksamheten efter driftövertag 1 maj 2013. Följa transformationsprojektet i syfte att utvärdera hur intern styrning och kontroll beaktas i de olika delleveranserna. Intervjuer och avstämningar med Riksbanken Beställare Processansvariga Styrgruppsmedlemmar Chef ITA Leverans- och leverantörsansvariga Enhetschefer ITA Projektledare Kontinuitetssamordnare

Outsourcing IT - drift Vår bedömning är att Riksbankens del i IT-driften och i transformationsprojektet fortsatt bedrivs på ett strukturerat och tydligt sätt. Iakttagelser från augusti 2012 avseende ytterligare tydliggörande av krav och organisation för styrning och uppföljning har i stora delar omhändertagits. Öppna iakttagelser per december 2013 Styrdokument för outsourcing Utkast till policy för val av verksamhetsform har under hösten tagits fram. Denna omfattar främst fasen som föregår beslut om utläggning av verksamhet. Ytterligare riktlinjer, där Riksbankens modell för styrning och uppföljning av utlagd verksamhet mer konkret beskrivs och kopplas ihop med externa/interna krav, saknas.

Outsourcing IT - drift Kris- och katastrofhantering forum och samarbetsformer Arbete sker genom exempelvis incidentprocessen, gemensamma planer och övningar. Vi har däremot inte kunnat ta del av någon dokumenterad samarbetsprocess där roller och gränssnitt mellan Riksbanken och leverantören tydliggörs. I den krismanual som finns för banken som helhet berörs inte heller externa leverantörer. Åtgärdade iakttagelser per december 2013 Förändringar i roller och ansvar delvis otydliga Operativa risker snäv definition och otydlig motpart hos leverantör Intern styrning och kontroll krav om intyg från leverantören saknas Riktighet i data ansvarsfördelning otydlig

Bilaga 1 Iakttagelser augusti 2012 Vår bedömning är att projektet bedrivs på ett strukturerat och ambitiöst sätt. Iakttagelser har främst noterats avseende att ytterligare tydliggöra krav och organisation för styrning och uppföljning: Styrdokument för outsourcing Riksbanken saknar policy eller annat styrdokument för outsourcing, vilket skapar risk för otydlighet och icke enhetlig hantering. Det är också ett krav för andra finansiella verksamheter. Förändringar i roller och ansvar Gränssnitten mellan de roller som förändras/skapas i o m outsourcingen kan tydliggöras. Otydlighet ökar risken för dubbelarbete och att uppgifter hamnar mellan stolarna.

Bilaga 1, forts. Iakttagelser augusti 2012 Operativa risker definition och samarbete Riksbanken saknar tydlig motpart hos leverantören i frågor om risk, vilket kan medföra att dessa frågor och aktiviteter inte hanteras på ett fullständigt och systematiskt sätt. Operativ risk används i flera fall synonymt med säkerhetsrisk. Risk finns då att fokus blir för smalt. Kris- och katastrofhantering forum och samarbetsformer Beskrivning av forum och arbetsformer avseende kris- och katastrofhantering saknas. Vi bedömer det viktigt att Riksbankens beredskapsplaner synkroniseras med leverantörens samt löpande testas.

Bilaga 1, forts. Iakttagelser augusti 2012 Intern styrning och kontroll krav på leverantören Krav på intyg avseende intern styrning och kontroll (ISK) hos leverantören saknas. Vår uppfattning är att ett sådant intyg, eller motsvarande information, är en viktig del för att kunna bedöma leverantörens ISK-arbete. Vi rekommenderar också att krav ställs på att leverantören utser ansvarig för intern styrning och kontroll gentemot Riksbanken. Riktighet i data ansvarsfördelning mellan Riksbanken och leverantören Krav samt beskrivning av roller och ansvar kopplat till åtkomst och tillgänglighet till system och data finns. Däremot är det inte uttryckt vilken part som ansvarar för riktigheten i data. Risk finns för otydlighet i roller och ansvar vilket kan påverka styrningen och uppföljningen och i slutänden datakvalitén.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss