REVISION AV OUTSOURCAD VERKSAMHET - EXEMPEL UR VERKLIGHETEN
jan.isberg.bransell@lm.se gunnar.jansson@kronofogden.se stephan.sandelin@pensionsmyndigheten.se
Revision av outsourcad verksamhet Vad menar vi med outsourcing? IT-drift, serverdrift, nätverk Applikationsdrift Utveckling, applikationsunderhåll Programvara som en tjänst (molnet) Manuella processer/rutiner Vår informationshantering styrs av förordningar Vi outsourcar även den interna kontrollen!
Revision av outsourcad verksamhet Vad outsourcas? Bildades 1 januari 2010 av PPM och delar av Försäkringskassan Delvis egna system (PPM), delvis FK-system och processer (inkomstpension, utbetalning, helpdesk, löneoch ekonomiadministration m.m.) FK svarar för 1/3 av Pensionsmyndighetens förvaltningsbudget (450 mkr) Har nyligen outsourcat driften av datahallarna Kommer fr. o m juni 2012 utnyttja Statens servicecenter
Revision av outsourcade verksamheter Vad outsourcas? Blev en egen myndighet 2008 Har ca 2 200 anställda Outsourcar i dag: IT-drift IT-support Löne- och ekonomiadministration Rekryteringsprocessen Internservice Kommer fr. o m juni 2012 ingå i Statens servicecenter
Revision av outsourcade verksamheter Vad outsourcas? Lantmäteriet Bildades 1628 Personaladministration EFH Pc-klienter (beställning och installation av kontorsdatorer) år 2011 Print & Copy (skrivare och kopiatorer) 2012 Pilotmyndighet inom tjänsteområdet e-handel. Ska from juni 2012 utnyttja Statens servicecenter
Revision av outsourcade verksamheter Vad outsourcas? Lantmäteriet - vägen mot outsorucing Utredningen Översyn av funktioner för ledning och stöd 2004 Bred genomlysning av stödverksamheten 2006 Strategisk plan 2006-2010 Generell sourcingstrategi 2007 Programmet effektivare stöd 2007-2010 inkl avslutsrapport Benchmarking under flertal år IT-sourcingstrategi 2010 Målbild sourcing IT 2011 IT-sourcingprojektet 2012-?
Revision av outsourcade verksamheter Varför ska IR vara intresserade? Informationsbrist verksamhet - IR Processansvar ISK ISK faller mellan stolarna ANSVARET KAN INTE OUTSOURCAS
Styrande förordningar och föreskrifter (ISK) Myndighetsförordningen (2007:515) FISK (Förordning (2007:603) om Intern Styrning och Kontroll) Internrevisionsförordningen (2006:1228) Förordning (2000:605) om årsredovisning och budgetunderlag ESV:s föreskrifter och allmänna råd Personuppgiftslagen (PUL) Men hänsyn behöver även tas till: Förordning (1995:1300) om Myndigheters riskhantering Förordning (2003:770) om Statliga myndigheters elektroniska informationsutbyte inkl. föreskrift om statliga myndigheters informationssäkerhet (MSBFS 2009:10) Förordning (2006:942) om Krisberedskap och höjd beredskap Finansinspektionens författningssamling (FFFS 2005:1) Riksförsäkringsverkets föreskrifter (RFFS 2004:1) Förordning (2000:606) om myndigheters bokföring Säkerhetsskyddsförordning (1996:633) m.fl.
FISK-krav ur outsourcingperspektiv Kontroller ska vara dokumenterade Spårbarhet ska redovisas Leverantören ska bevaka och föreslå förändringar Status ska rapporteras Resurser och kompetens ska ställas till förfogande för granskning och tester
Informationssäkerhet MSB 2009:10 Att med bibehållen säkerhet avseende myndighetens information kunna outsourca IT-tjänster och därtill hörande kringtjänster Några grundregler vid outsourcing (baserade på ISO 27001): Risker med avseende på myndighetens information ska identifieras och lämpliga säkerhetsåtgärder införas innan åtkomst beviljas. (A.6.2.1) Avtal med tredje part omfattande åtkomst, bearbetning, kommunikation och hantering av myndighetens information ska omfatta alla relevanta säkerhetskrav. (A.6.2.3) Det ska säkerställas att säkerhetsåtgärder, definitioner av tjänster och leveransnivån enligt avtal införs, drivs och upprätthålls av leverantören. (A.10.2.1) Tjänster, rapporter och redovisningar från leverantören skall regelbundet övervakas och granskas samt revisioner göras regelbundet. (A.10.2.2) Ändring av utförande av tjänster, inklusive säkerhetsåtgärder, ska hanteras med hänsyn till risker och hur kritiska verksamhetsprocesserna är. (A.10.2.3)
Ansvaret kan aldrig outsourcas! 12
Revision av outsourcad verksamhet Vad och hur kan IR granska? Vad säger avtalet revisionsklausul? Hur planera? När? Komplicerad teknik? Vem betalar? Alternativa lösningar? Egen granskning kontra 3:e parts granskning/intyg Oberoende organisation/revisionsbyrå Leverantörens intyg Input-/outputkontroller, gränssnittet Överenskommelse inom staten?
Från Pensionsmyndighetens årsredovisning 2011 Samarbetet mellan oss och Försäkringskassan bygger på att det är två självständiga parter som samverkar med ömsesidigt förtroende för varandra. Dessutom ska sam arbetet leda till kostnadseffektiva lösningar för båda parter och i det ta hänsyn till båda myndigheternas uppdrag och utmaningar. Slutligen ska samarbetet vara trans parent och uppföljningsbart av båda parter och av externa intressenter.
Revision av outsourcade verksamheter Vanliga problem vid granskningen Svårt få tillgång till rutinbeskrivningar och rätt kompetens Ovilja eller tillmötesgående? Vi har egna revisorer Granskningen skjuts upp, försenas? Krav på revisionsbevis och spårbarhet Hur hantera tillkommande kostnader för revision? Kan vi korrekt bedöma risker i leverantörens miljöer? Svårare att kontrollera/verifiera källmaterial
Revision av outsourcade verksamheter Vanliga problem vid granskningen Allt tar längre tid!
Revision av outsourcade verksamheter Revisionsstöd som tjänst IR:s intresse ligger i att myndighetens köpta tjänster har en tillfredsställande intern kontroll, effektivitet och ändamålsenlighet Inbyggt i avtal, SLA:er, tjänstebeskrivningar etc. Spårbarhet och revisionsbevis Processägarens ansvar Utöver detta har IR krav på egna tjänster för att kunna utföra sitt arbete Möjlighet att utföra revision (revisionsklausuler och/eller eventuellt tredjepartsintyg) både planerat och spontant Stöd och resurser hos leverantören Löpande riskanalyser
Revision av outsourcade verksamheter Slutsatser Rutiner ska vara på plats innan outsourcing! Har vi städat före? Vi kan inte outsourca interna problem Var med tidigt i outsourcing-processen Klarlägg samverkansformer och former för betalning av revisionstjänster Viktigt att få med krav på ISK i avtal för de olika tjänsterna
Revision av outsourcade verksamheter Slutsatser, forts Identifiera och dokumentera nyckelkontroller i kritiska processer Hitta former för rapportering, spårbarhet och intygande
Ansvaret kan aldrig outsourcas! 20
ETT MYNDIGHETSGEMENSAMT SERVICECENTER 2012-06-01!
Att gå från sin egen ekonomi till att köpa ekonomitjänst, outsourcing Vad ska jag som kundmyndighet tänka på? Säkra upp myndighetens egna processer - Ekonomihandbok? Processkartläggning? Som beställare måste kundmyndigheten förstå de tjänster man köper och får levererade, det handlar gränssnitt och ansvar.
Viktigt att få med IR och ISK-krav när bastjänsterna dokumenteras Viktigt att få till revisionsstöd som en tjänst Hur ska olika myndigheters internrevision samordnas på bästa sätt? En första samverkansgrupp av internrevisorer är bildad
Ansvaret kan aldrig outsourcas! 24
Revision av outsourcade verksamheter Framtiden Hur kan den se ut? Schematiskt angreppssätt Hela verksamheten Kandidater Sourcing 1 2 Fördjupad analys 3 Upphandling 4 Prioriterade kandidater baserat på potential och förutsättningar