Arbetslöshetskassorna och systematisk internkontroll

Relevanta dokument
Arbetslöshetskassornas system och rutiner för internkontroll samt informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Regler och riktlinjer för intern styrning och kontroll vid KI

Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern

Arbetslöshetskassornas arbete med intern styrning och kontroll. Rapport 2018:7

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Lokala regler och anvisningar för intern kontroll

IAF:s granskning av ersättningsärenden: Kommunalarbetarnas arbetslöshetskassa

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Finansieringen av arbetslöshetsförsäkringen

Reglemente för internkontroll

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Policy för internkontroll för Stockholms läns landsting och bolag

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Kompletterande aktörer och Arbetsförmedlingens kontrollarbete Säkerställer Arbetsförmedlingen en korrekt avvikelserapportering?

Granskningsrapport av intern styrning och kontroll 2017

Informationssäkerhetspolicy för Ånge kommun

Arbetslöshetskassornas eget kapital och finansiella placeringar

Arbetslöshetskassan Alfa Granskning av ekonomi. Rapport 2017:13

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Förstagångsprövade företagarärenden vid Kommunalarbetarnas arbetslöshetskassa

Ekonomigranskning 2015

Internrevisionsförordning (2006:1228)

Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006

Riktlinjer för intern kontroll

Granskning av beslut efter inkomna underrättelser vid Kommunalarbetarnas arbetslöshetskassa

Informationssäkerhetspolicy för Ystads kommun F 17:01

Policy för Essunga kommuns internkontroll

AMS utbetalning av statsbidrag till arbetslöshetskassorna

Granskning av informationssäkerheten i arbetslöshetskassornas medlemssystem

Granskning av stadens arbete med åtgärder och uppföljning avseende intern styrning och kontroll

2016:25 Företag utan verksamhet. Uppföljning initierad av IAF

Förstagångsprövade företagarärenden vid Hotelloch restauranganställdas arbetslöshetskassa

Förstagångsprövade ersättningsärenden vid Arbetslöshetskassan Vision

System för intern kontroll Spånga-Tensta Stadsdelsnämnd

Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan

Förstagångsprövade ersättningsärenden vid IF Metalls arbetslöshetskassa

Förstagångsprövade ersättningsärenden vid Ledarnas arbetslöshetskassa

Intern kontroll i kommunen och dess företag. Sollefteå kommun

Arbetslöshetskassornas egna kapital och finansiella placeringar. Rapport 2019:9

Granskning av arbetslöshetskassornas årsredovisningar 2015

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll

Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009

System för intern kontroll Hässelby-Vällingby stadsdelsförvaltning

Informationssäkerhetspolicy inom Stockholms läns landsting

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll

Uppföljning av granskning 2014 Intern kontroll. Smedjebackens kommun

Hällefors kommun. Uppföljning av intern kontroll Revisionsrapport. Offentlig sektor KPMG AB Antal sidor: 13

RP 170/2008 rd. Lagen avses träda i kraft den 1 januari 2009.

REGLER FÖR INTERN KONTROLL

Hantering av uteslutning och frånkännande

Omprövning av utträde vid bristande betalning

3 Metod och genomförande

Revisionsrapport. Översiktlig granskning av den interna styrningen och kontrollen * Sammanfattande resultat. Ljusdals kommun

Riktlinjer för intern kontroll

Idrottsnämndens system för internkontroll

Förstagångsprövade ersättningsärenden vid Fastighets arbetslöshetskassa

Arbetslöshetskassornas administrationskostnader

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning Sammanfattning

Miljö- och hälsoskyddsnämndens plan för intern kontroll 2014

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Internrevisionen Förslag till revisionsplan för år 2008 Christina Wannehag Dnr B 5 350/08

Handledning Samarbete om risker i verksamheten

Arbetslöshetskassornas eget kapital

Intern kontroll och riskbedömningar. Sollefteå kommun

Ekonomistyrningsverkets cirkulärserie över föreskrifter och allmänna råd

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Riktlinjer för IT-säkerhet i Halmstads kommun

Granskning av beslut efter inkomna underrättelser vid GS arbetslöshetskassa

Förstagångsprövade ersättningsärenden vid Hotell- och restauranganställdas arbetslöshetskassa

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Förstagångsprövade ersättningsärenden vid STs arbetslöshetskassa

Riktlinjer för arbetet med intern kontroll

Förstagångsprövade ersättningsärenden vid Finans- och försäkringsbranschens arbetslöshetskassa

Arbetslöshetskassornas medlemsavgiftsfordringar

Reglemente för intern kontroll

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Förstagångsprövade företagarärenden vid Handelsanställdas arbetslöshetskassa

Revisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning

Policy för intern styrning och kontroll

Granskning av Arbetslöshetskassan Alfas ekonomi

Informationssäkerhetspolicy

Internrevisionsrapport 2018

IAF:s granskning av företagarärenden: Svensk handels och arbetsgivarnas arbetslöshetskassa

Revisionsrapport Karolinska Institutet Stockholm

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

Riktlinjer för internrevisionen vid Sida

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Internkontrollplan 2018 för kommunstyrelsen

Tillväxtverkets riktlinjer för intern styrning och kontroll

Intern kontroll och riskbedömningar. Strömsunds kommun

Informationssäkerhetspolicy KS/2018:260

Riktlinjer för internkontroll i Kalix kommun

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Förstudie: Övergripande granskning av ITdriften

Granskning av intern styrning och kontroll vid Statens servicecenter

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Transkript:

2009-12-01 Dnr 2009/260 MO 2009:15 Arbetslöshetskassorna och systematisk internkontroll IAF:s redovisning av regeringsuppdraget att granska arbetslöshetskassornas system och rutiner för internkontroll IAF:s redovisning av regeringsuppdraget att följa upp 2008 års granskning av arbetslöshetskassornas informationssystem.

2

Inspektionen för arbetslöshetsförsäkringen, IAF, har i regleringsbrevet 2009 fått uppdraget att granska samtliga arbetslöshetskassors system och rutiner för internkontroll i syfte att säkerställa en rättssäker och effektiv tillämpning av arbetslöshetsförsäkringen. Granskningen ska även omfatta internkontrollen i arbetslöshetskassornas gemensamma informationssystem Äga och OAS. I uppdraget ingår även en uppföljning av det uppdrag IAF hade i regleringsbrevet för 2008 om granskning av arbetslöshetskassornas informationssystem. Denna rapport har utarbetats inom IAF av Petra Capelle, Inger Fernholm (uppdragsledare), Anders Jansson och Stefan Lejerdahl. I sammanställningen av arbetet har även Kerstin Claesson, Rikard Jeneskog och Eva Nordström deltagit. Rapporten är godkänd för publicering. Katrineholm den 1 december 2009 Anne-Marie Qvarfort Generaldirektör Gunilla Wandemo Chef för granskningsenheten Inspektionen för arbetslöshetsförsäkringen, IAF Box 210 641 22 Katrineholm Tfn: 0150-48 70 00 E-post: iaf@iaf.se www.iaf.se 3

4

Innehåll Sammanfattning... 7 1 Uppdraget... 10 1.1 Syfte... 10 2 Bakgrund... 10 2.1 Arbetslöshetskassorna och systematisk internkontroll... 10 2.1.1 Internkontroll hos arbetslöshetskassorna i Finland... 12 2.2 Granskningen av arbetslöshetskassornas informationssystem 2008... 13 3 Avgränsningar och definitioner... 14 3.1 Avgränsningar i granskningen av arbetslöshetskassornas internkontroll... 15 3.2 Avgränsningar i uppföljningen av arbetslöshetskassornas informationssystem... 15 4 Metod och genomförande... 15 4.1 Arbetslöshetskassornas internkontroll... 16 4.1.1 Bedömning av graden av internkontroll... 17 4.2 Arbetslöshetskassornas informationssystem... 18 Del 1... 19 5 Arbetslöshetskassornas internkontroll, resultat av granskningen... 19 5.1 Kontrollmiljö... 19 5.2 Riskanalys... 19 5.2.1 Internkontrollplan... 21 5.3 Kontrollåtgärder... 21 5.4 Information och kommunikation... 22 5.5 Uppföljning och utvärdering... 22 Del 2... 24 6 Arbetslöshetskassornas informationssystem, redovisning av IAF:s uppföljning... 24 6.1 Utvecklingsområden inom riskklass 1... 25 6.2 Utvecklingsområden inom riskklass 2... 27 6.3 Utvecklingsområden inom riskklass 3... 29 6.4 Internkontrollen i OAS och Äga... 30 7 Sammanfattande analys... 31 7.1 Arbetslöshetskassornas grad av systematisk internkontroll... 31 7.2 Arbetslöshetskassornas informationssystem... 33 8 Slutsatser... 35 8.1 Avsaknad av systematisk riskanalys kan leda till otillräckliga kontrollåtgärder... 35 5

8.2 Svag internkontroll medför ökad risk för felaktiga utbetalningar... 36 8.3 Väsentliga risker kvarstår inom informationssystemen... 36 9 IAF:s bedömning... 38 10 IAF:s återkoppling till arbetslöshetskassorna... 39 Källförteckning... 40 Bilaga 1. Intervjufrågor... 42 Bilaga 2. Viktning av intervjufrågor... 45 Bilaga 3. Sammanställning av enkät... 46 6

Sammanfattning Idag finns det ingen reglering kring internkontroll som omfattar Sveriges arbetslöshetskassor. I Finland däremot har det nyligen införts en reglering i lag om internkontroll för arbetslöshetskassorna. Motiveringen till införandet är att arbetslöshetskassorna sköter ett offentligt uppdrag och därför måste ha ett ändamålsenligt administrations- och kontrollsystem. I Sverige ställs det idag krav på ett 60-tal statliga myndigheter att ha en fungerande internkontroll. Bland dessa återfinns utbetalande myndigheter såsom Centrala studiestödsnämnden och Försäkringskassan. Kravet på att arbeta med internkontroll regleras främst i förordning (2007:603) om intern styrning och kontroll. Förordningen utgår från COSO-modellen, ett internationellt erkänt ramverk för internkontroll. IAF föreslår att regeringen överväger att införa en ny bestämmelse med krav på internkontroll i lagen (1997:239) om arbetslöshetskassor. Arbetslöshetskassornas informationssystem bör omfattas av regleringen. IAF bedömer att en reglering på området är nödvändig för att stärka att arbetslöshetskassorna med rimlig säkerhet fullgör sitt uppdrag. En reglering skulle tydliggöra ansvaret för arbetslöshetskassornas interna ledning och styrning. En reglering blir också den norm och referensram som är en förutsättning för att IAF:s tillsyn på området ska vara effektiv. IAF har kartlagt samtliga arbetslöshetskassors arbete med internkontroll genom intervjuer med styrelseordförande och kassaföreståndare i respektive arbetslöshetskassa. Intervjuerna genomfördes under våren 2009. Fokus har legat på arbetslöshetskassornas systematiska arbete med internkontroll. IAF har funnit att en arbetslöshetskassa arbetar systematiskt med internkontroll. Fyra arbetslöshetskassor har systematisk internkontroll i vissa delar. Resterande 27 arbetslöshetskassor har en låg eller mycket låg grad av systematisk internkontroll. En orsak till att arbetslöshetskassorna inte har en systematisk internkontroll kan vara avsaknaden av reglering och att arbetslöshetskassornas prioriteringar i första hand utgår från reglerade områden. Under perioden oktober 2008 -- september 2009 betalade arbetslöshetskassorna totalt ut ca 17,3 miljarder kronor i arbetslöshetsersättning. Drygt 8 miljarder betalades ut av arbetslöshetskassor med låg eller mycket låg grad av systematisk internkontroll. IAF bedömer att avsaknaden av en systematisk internkontroll, och då 7

framför allt avsaknaden av systematisk riskanalys, kan leda till otillräckliga kontrollåtgärder. En svag internkontroll medför också en ökad risk för felaktiga utbetalningar. År 2008 genomförde IAF en granskning av informationssäkerheten i arbetslöshetskassornas informationssystem. IAF identifierade och riskklassificerade 25 utvecklingsområden som arbetslöshetskassorna måste säkerställa. Respektive arbetslöshetskassa anmodades att till IAF lämna en statusrapport för varje område och ange eventuella åtgärder arbetslöshetskassan planerade att vidta och en tidplan för arbetet. Genom enkäter till samtliga arbetslöshetskassor har IAF genomfört en uppföljning av 2008 års granskning av informationssystemen. Enkätsvaren inkom till IAF i september 2009 och visar att 21 av 25 utvecklingsområden inte har säkerställts av alla arbetslöshetskassor. Av dessa tillhör fem områden riskklass 1, vilket innebär mycket kritiskt för effektivitet och uppfyllande av verksamhetsmål. Ett område kan vara säkerställt i en enskild arbetslöshetskassa utan att området som helhet är säkerställt. För det krävs att alla arbetslöshetskassor har säkerställt området. Av 32 arbetslöshetskassor har 30 inte säkerställt alla utvecklingsområden. Utbetalning av arbetslöshetsersättning är en samhällsviktig verksamhet och det är av största vikt att alla utvecklingsområden säkerställs. IAF ser särskilt allvarligt på att utvecklingsområden inom riskklass 1 inte är säkerställda av samtliga arbetslöshetskassor. De slutsatser IAF kommit fram till i tidigare granskning kvarstår. Dessa är att rutiner och kontroller för arbetslöshetskassornas hantering av informationssystemen måste formaliseras och kvalitetssäkras. Det finns väsentliga informationssäkerhetsrisker inom både den övergripande förvaltningen av systemen och inom specifika processer. IAF kommer att lämna en dokumenterad redovisning till varje arbetslöshetskassa där den egna arbetslöshetskassans resultat i granskningen framgår. Redovisningen avser både systematisk internkontroll och arbetslöshetskassans informationssystem. IAF kommer att anmoda arbetslöshetskassorna som inte har säkerställt alla identifierade utvecklingsområden inom informationssystemen att omedelbart vidta åtgärder. 8

9

1 Uppdraget Inspektionen för arbetslöshetsförsäkringen (IAF) har i regleringsbrevet 2009 fått följande uppdrag: IAF ska granska samtliga arbetslöshetskassors system och rutiner för internkontroll i syfte att säkerställa en rättssäker och effektiv tillämpning av arbetslöshetsförsäkringen. Granskningen ska även omfatta internkontrollen i arbetslöshetskassornas gemensamma informationssystem Äga och OAS. I uppdraget ingår även en uppföljning av det uppdrag IAF hade i regleringsbrevet för 2008 om granskning av arbetslöshetskassornas informationssystem. Uppdragen ska redovisas senast den 1 december 2009. Denna rapport utgör IAF:s redovisning av uppdraget. I rapportens första del redogör IAF för granskningen av arbetslöshetskassornas internkontroll. I den andra delen redogörs för uppföljningen av 2008 års granskning av säkerheten i arbetslöshetskassornas informationssystem. IAF avslutar rapporten med en analys utifrån uppdragets båda delar. 1.1 Syfte Rapporten syftar till att utifrån regeringsuppdraget: granska samtliga 32 arbetslöshetskassors system och rutiner för internkontroll och följa upp 2008 år granskning av samtliga arbetslöshetskassornas informationssäkerhet. Därutöver är IAF:s ambition att genom granskningen: öka arbetslöshetskassornas medvetenhet, kunskap och insikt om systematisk internkontroll och bedöma om det behövs reglering på området. 2 Bakgrund 2.1 Arbetslöshetskassorna och systematisk internkontroll Hos myndigheter och organisationer som förfogar över allmänna medel är en god internkontroll en förutsättning för att bland annat säkerställa att medborgarnas skattepengar används effektivt. För arbetslöshetskassornas del bidrar en systematisk internkontroll till transparens i försäkringssystemet och 10

till att upprätthålla legitimiteten för den verksamhet som arbetslöshetskassorna bedriver. För statliga myndigheter regleras kraven på att arbeta med intern styrning och kontroll framför allt i två förordningar; myndighetsförordningen (2007:515) och förordningen (2007:603) om intern styrning och kontroll. Myndighetsförordningen gäller för alla förvaltningsmyndigheter under regeringen. Förordningen om intern styrning och kontroll gäller för cirka 60 förvaltningsmyndigheter som är skyldiga att följa internrevisionsförordningen (2006:1228), bland annat Försäkringskassan och Centrala studiestödsnämnden. I myndighetsförordningen anges att det är ledningens ansvar att säkerställa att det finns en intern styrning och kontroll som fungerar på ett betryggande sätt. Förordningen om intern styrning och kontroll ställer krav på formerna för den interna kontrollen. Enligt den senare ska internkontroll vara en integrerad process i myndighetens verksamhet. Grundtanken är att all verksamhet ska planeras, styras och följas upp med beaktande av de grundläggande momenten riskanalys, kontrollåtgärder, uppföljning och dokumentation 1. Förordningen om intern styrning och kontroll utgår från COSO 2 som är ett internationellt erkänt ramverk för internkontroll. COSO lägger dessutom till ett femte moment -- kontrollmiljö. En utförligare beskrivning av de olika momenten återfinns i avsnitt 4.1.1. Arbetslöshetskassorna är privaträttsliga organisationer och deras verksamhet regleras i lagen (1997:239) om arbetslöshetskassor. Arbetslöshetskassorna har till uppgift att besluta om och betala ut arbetslöshetsersättning till enskilda i enlighet med lagen (1997:238) om arbetslöshetsförsäkring. I deras verksamhet ingår uppgifter som innefattar myndighetsutövning 3. Arbetslöshetskassorna är inte myndigheter och lyder inte under vare sig myndighetsförordningen eller förordningen om intern styrning och kontroll. Lagen om arbetslöshetskassor anger inte heller några krav 1 Ekonomistyrningsverket, ESV 2008:13, Handledning -- intern styrning och kontroll, sid. 9. 2 Committee of Sponsoring Organizations of the Treadway Commission 3 Justitieombudsmannen (JO) gjorde i beslut den 27 december 2000 bedömningen att handläggning och beslutsfattande i ärenden om arbetslöshetsersättning och medlemskap i en arbetslöshetskassa innefattar myndighetsutövning (dnr 780-2000). 11

avseende internkontroll. Arbetslöshetskassorna förfogar över allmänna medel och ur ett medborgarperspektiv är det en förutsättning att de har ordning och reda i sina verksamheter. Men ordning och reda är inte tillräckligt för att uppnå en systematisk internkontroll. En systematisk internkontroll är en viktig förutsättning för att säkerställa både att man betalar ut rätt ersättning och har en rättssäker hantering av arbetslöshetsförsäkringen. IAF kan i sammanhanget även nämna det pågående uppdrag om internkontroll som Ekonomistyrningsverket (ESV) fått av regeringen. Uppdraget går ut på att utveckla en metod för att utvärdera den kontroll som sker av utbetalningar i välfärdssystemen. Syftet med detta kontrollutvärderingsinstrument är att stödja myndigheternas och regeringens styrning. Detta ska ske bland annat genom att det ger möjlighet att följa myndigheternas insatser med att minska felaktiga utbetalningar och höja standarden på kontrollverksamheten. ESV föreslår i sin delrapport till regeringen 4 att bland annat arbetslöshetskassornas utbetalning av arbetslöshetsersättning ska omfattas av denna framtida kontroll. ESV föreslår också att en pilotstudie genomförs för att utvärdera om kontrollutvärderingsinstrumentet når sitt syfte. ESV föreslår att IAF ska få i uppdrag att välja ut ett antal arbetslöshetskassor som ska ingå i pilotstudien. Resultatet av pilotstudien kommer ESV att redovisa i sin slutrapport till regeringen den 1 april 2010. 2.1.1 Internkontroll hos arbetslöshetskassorna i Finland I Finland har riksdagen från den 1 januari 2009 infört bestämmelser om internkontroll och riskhanteringssystem i den finländska lagen om arbetslöshetskassor (603/1984). I en ny paragraf, 12 a, anges följande. Arbetslöshetskassans styrelse ska se till att arbetslöshetskassan med beaktande av arten och omfattningen av kassans verksamhet har tillräcklig intern kontroll och tillräckliga riskhanteringssystem. Finansinspektionen meddelar närmare föreskrifter om hur den interna kontrollen och riskhanteringen ska ordnas. I den finländska regeringens proposition (RP 170/2008), inför införandet av paragrafen har det uttalats att det är 4 Kontrollutvärderingsinstrument, delrapport, Ekonomistyrningsverket, ESV, 2009:33. 12

motiverat med bestämmelser på lagnivå avseende intern kontroll och riskhantering när det gäller arbetslöshetskassorna, eftersom de sköter ett offentligt uppdrag och måste då ha ett ändamålsenligt administrations- och kontrollsystem. I propositionen har det även uttalats att det är arbetslöshetskassans styrelse som ska ansvara för att det finns tillräcklig internkontroll och tillräckliga riskhanteringssystem, då det är arbetslöshetskassans styrelse som också i sista hand ansvarar för arbetslöshetskassans hela verksamhet. I propositionen har det vidare uttalats följande. Kontrollen ska omfatta arbetslöshetskassans verksamhet i sin helhet oberoende av exempelvis vilken förmån som verkställs. Med intern kontroll avses bland annat - all internkontroll i en arbetslöshetskassa som gäller verkställandet av förmåner, - alla interna anvisningar, - personalens yrkeskompetens, - organisationens funktionsduglighet och uppgiftsfördelningen inom organisationen, - uppföljning av de uppgifter som hör till arbetslöshetskassan som läggs ut på entreprenad och - övervakning av dessa uppgifter. En effektiv internkontroll förutsätter att de betydande risker, både yttre och inre, som kan ha en skadlig inverkan på skötseln av arbetslöshetskassans lagstadgade uppgifter kontinuerligt identifieras och bedöms. Med riskhantering som en del av den interna kontrollen avses identifiering, bedömning, begränsning och övervakning av risker som ansluter sig till verksamheten. 2.2 Granskningen av arbetslöshetskassornas informationssystem 2008 IAF hade i sitt regleringsbrev för 2008 uppdraget att granska arbetslöshetskassornas informationssystem i syfte att säkerställa att systemen gav korrekt och säkert stöd i beslut om arbetslöshetsersättning. IAF redovisade uppdraget till regeringen den 1 november 2008 5. Granskningen identifierade följande övergripande områden inom arbetslöshetskassornas IT-verksamhet som måste säkerställas: 5 IAF:s dnr 2008/789 13

Systemägarskapet för OAS 6, Informationssäkerhetsansvar hos arbetslöshetskassorna, Systemsäkerhetsanalyser, Instruktioner för hantering av personuppgiftslagen (PuL). Dessutom specificerades 25 olika utvecklingsområden vilka framgår i avsnitt 6. Respektive utvecklingsområde riskklassificerades enligt följande. Antal utvecklingsområden anges inom parentes. 1. Mycket kritiskt för effektivitet och uppfyllande av verksamhetsmål på kort och lång sikt (6) 2. Kritiskt för en god internkontroll, effektivitet och tillförlitlighet i ITverksamheten (16) 3. Väsentligt för en god internkontroll, effektivitet och tillförlitlighet i ITverksamheten (3) Resultaten från granskningen föranledde IAF att från arbetslöshetskassorna begära en aktuell statusrapport över respektive utvecklingsområde. I denna fick varje arbetslöshetskassa även redovisa vilka åtgärder, inklusive tidplan, den ämnade vidta för att kvalitetssäkra informationssäkerheten i sina IT-system. Arbetslöshetskassorna lämnade sina statusrapporter till IAF i december 2008. 3 Avgränsningar och definitioner IAF utgår i granskningen från den definition av internkontroll som anges i förordningen om intern styrning och kontroll och ESV:s handledning gällande intern styrning och kontroll. Där definieras internkontroll som den process som ska säkerställa att man med rimlig säkerhet fullgör sitt uppdrag. I rapporten hänvisas till arbetslöshetskassornas ledning. Med detta avser IAF styrelsens ordförande och kassaföreståndare i respektive arbetslöshetskassa. 6 Arbetslöshetskassornas besluts- och utbetalningssystem. 14

3.1 Avgränsningar i granskningen av arbetslöshetskassornas internkontroll Granskningen av arbetslöshetskassornas internkontroll omfattar inte deras arbete med ekonomihantering, återkrav 7 eller systemteknik. Vidare omfattar granskningen inte arbetslöshetskassornas fysiska miljö, till exempel lås, brandskydd och förvaring. Dokumentstudierna har IAF avgränsat till att granska arbetslöshetskassornas dokumentförteckningar (se vidare under metodavsnittet) samt i förekommande fall upprättade internkontrollplaner och dokumenterade riskanalyser. Övriga dokument som framgår av arbetslöshetskassornas dokumentförteckningar har IAF inte granskat. 3.2 Avgränsningar i uppföljningen av arbetslöshetskassornas informationssystem Uppföljningen av 2008 års granskning av arbetslöshetskassornas informationssystem har inte innefattat någon ny granskning av dokumentation, revisionsbevis eller av arbetslöshetskassornas informationssystem. Arbetslöshetskassorna har under ledning av Arbetslöshetskassornas Samorganisation, SO, arbetat med att implementera Informationssäkerhetshandbok för a-kassorna i sina verksamheter. Arbetet har benämnts ISAK-projektet och bedrivits under perioden november 2008 -- mars 2009. Arbetet är en direkt följd av IAF:s granskning av arbetslöshetskassornas informationssäkerhet 2008. Under intervjuerna med arbetslöshetskassornas ledningar har flera nämnt riskanalyser och kontrollåtgärder som de vidtagit inom ramen för ISAK-projektet. IAF:s uppföljning av arbetslöshetskassornas informationssäkerhet innefattar inte arbetslöshetskassornas och SO:s arbete inom ISAKprojektet. 4 Metod och genomförande De två delarna i regeringsuppdraget har granskats med två olika metoder; intervjuer när det gäller arbetslöshetskassornas internkontroll och enkäter när det 7 Arbetslöshetskassornas hantering av återkrav redovisas i IAF:s rapport till regeringen; Återkrav av felaktigt utbetald ersättning och återbetalning av statsbidrag, IAF 2009:11. 15

gäller uppföljning av informationssystemen. Vissa delar av granskningen presenteras kvantitativt för att åskådliggöra resultatet samlat för alla arbetslöshetskassor. Under intervjuerna om internkontroll ställde IAF även några frågor som berör informationssystemen. Dessa redovisas i del 2 av rapporten. 4.1 Arbetslöshetskassornas internkontroll IAF har under perioden april -- juni 2009 intervjuat ledningen för respektive arbetslöshetskassa. Intervjufrågorna framgår i bilaga 1. Inför intervjuerna har ledningen fått information om vilka områden och vilka övergripande frågeställningar som granskningen berör. IAF har även tillsammans med ESV haft ett seminarium rörande internkontroll och den kommande granskningen för arbetslöshetskassorna. Samtliga arbetslöshetskassor deltog och hade tillfälle att ställa frågor och ge kommentarer. Efter genomförda intervjuer har arbetslöshetskassorna fått möjlighet att faktagranska IAF:s dokumentation av intervjuerna. Vid intervjuerna har arbetslöshetskassornas ledningar varit representerade genom styrelseordförande och kassaföreståndare 8. Styrelseordföranden företräder styrelsens övergripande och strategiska ansvar för arbetslöshetskassans verksamhet. Kassaföreståndaren har det operativa ansvaret för arbetslöshetskassan och leder det dagliga arbetet. IAF har granskat arbetslöshetskassornas internkontrollplaner och riskanalyser då sådan dokumentation har funnits. IAF har i samband med intervjuerna begärt in en dokumentförteckning från respektive arbetslöshetskassa. I förteckningen har arbetslöshetskassorna fått ange de dokument som de ansett som relevanta utifrån de områden intervjun behandlat. 8 Några arbetslöshetskassor har på grund av förhinder för styrelseordföranden i stället representerats av styrelsens vice ordförande. Några arbetslöshetskassor har valt att ta med ytterligare en person för att representera arbetslöshetskassan. Det har till exempel skett då kassaföreståndaren varit nytillträdd eller då arbetslöshetskassan vid tillfället för intervjun haft ett pågående utvecklingsarbete med en fristående konsult anlitad. 16

4.1.1 Bedömning av graden av internkontroll Som tidigare nämnts tar granskningen sin utgångspunkt i förordningen om intern styrning och kontroll samt COSO:s fem moment för internkontroll. Momenten är; Kontrollmiljö -- ledningens övergripande inställning till medvetenhet om och åtgärder rörande system för intern kontroll och deras betydelse för organisationen. Förmedlar disciplin, struktur och anger tonen för verksamheten. Riskanalys -- bedömning och analys av risker för att målen som satts upp för verksamheten inte kan uppnås samt av generella hot mot verksamheten. Kontrollåtgärder -- ska motverka effekterna av riskerna. De ska utformas i förhållande till den riskanalys som gjorts och vara inbyggda i såväl organisation som rutiner. Information och kommunikation -- säkerställa att informationsflödet fungerar inom organisationen så att rätt information går ut i rätt tid till alla nivåer. Detta gäller även de tekniska informationssystemen. Uppföljning och utvärdering -- systemet för internkontroll måste följas upp för att säkerställa att det fungerar på avsett vis. Utvärderingen ska resultera i eventuella förslag till förbättringar. IAF har i bedömningen av arbetslöshetskassornas internkontroll i huvudsak utgått från de svar ledningarna för arbetslöshetskassorna lämnat vid intervjuerna. Tonvikten har lagts på de tre första momenten: kontrollmiljö, riskanalys och kontrollåtgärder Anledningen till att IAF valt att utgå från dessa är att de är grundläggande moment i ett systematiskt internkontrollarbete. För att bedöma en arbetslöshetskassas grad av internkontroll har IAF viktat intervjufrågorna inom varje moment och värderat arbetslöshetskassornas svar (bilaga 2). Arbetslöshetskassor som på ett systematiskt sätt arbetar med interkontroll har värderats högst. I bedömningen har IAF också valt att sätta ett högre värde 17

på de arbetslöshetskassor som har påbörjat eller planerar att påbörja 9 ett systematiskt arbete med internkontroll. Arbetslöshetskassornas arbete med systematisk internkontroll har graderats i fyra nivåer: Systematisk internkontroll Systematisk internkontroll i vissa delar Låg grad av systematisk internkontroll Mycket låg grad av systematisk internkontroll Bedömningen utgår från systematiken i arbetslöshetskassornas arbete med internkontroll. En arbetslöshetskassa som har god ordning och reda i sitt arbete har inte per automatik ett systematiskt arbete med internkontroll. En god ordning och reda är till exempel ingen garanti för att arbetslöshetskassan identifierat alla risker för verksamheten och vidtagit relevanta kontrollåtgärder. Samtidigt kan arbetslöshetskassor som har god ordning och reda, men saknar en systematisk internkontroll, med relativt begränsade åtgärder åstadkomma ett systematiskt arbete med internkontroll. I granskningen har IAF fokuserat på att ge en övergripande bild av hur arbetslöshetskassorna idag arbetar med internkontroll och om arbetet innehåller de grundläggande momenten, till exempel riskanalys. 4.2 Arbetslöshetskassornas informationssystem För att följa upp arbetslöshetskassornas fortsatta arbete med informationssäkerheten, skickade IAF i juni 2009 ut en enkät till alla arbetslöshetskassor. Enkäten innehöll frågor utifrån de utvecklingsområden som identifierats och riskklassificerats i 2008 års granskning samt de statusrapporter arbetslöshetskassorna därefter lämnat till IAF. Arbetslöshetskassornas svar på enkäten inkom till IAF i september. Svaren var då förankrade i respektive arbetslöshetskassas ledning. I avsnitt 6 framgår respektive utvecklingsområde och riskklassificering. En sammanställning av enkäten och arbetslöshetskassornas svar redovisas i bilaga 3. 9 Aktiviteten ska ha varit tidsatt för att anses som planerad. 18

Del 1 5 Arbetslöshetskassornas internkontroll, resultat av granskningen IAF har under våren 2009 intervjuat företrädare för ledningen vid alla 32 arbetslöshetskassor. I denna del redovisar IAF en sammanställning av arbetslöshetskassornas svar. 5.1 Kontrollmiljö Ledningen för samtliga arbetslöshetskassor har vid intervjun fått redogöra för verksamhetens mål. Arbetslöshetskassorna uppger att målen är förmedlade och väl kända i organisationen. Det finns dock en variation i med vilken systematik arbetslöshetskassorna förmedlar målen till medarbetarna. Vissa har en rutin för detta medan andra förmedlar målen på förekommen anledning. 22 arbetslöshetskassor saknar rutiner för att uppdatera organisationens styrdokument. Dokumenten uppdateras istället vid behov eller på förekommen anledning. Tio arbetslöshetskassor saknar rutiner för att förmedla riktlinjer och rutiner till medarbetarna. IAF har frågat ledningen för arbetslöshetskassorna om och i så fall hur de arbetar med värdegrunder. IAF noterar att det finns en stor variation mellan arbetslöshetskassorna vad gäller i vilken utsträckning man arbetar med värdegrundsfrågor. 5.2 Riskanalys En väl fungerande och systematisk internkontroll förutsätter ett aktivt arbete med riskanalys. Ledningen för respektive arbetslöshetskassa har fått redogöra för hur och i vilken utsträckning de arbetar med att identifiera och hantera risker. Av intervjuerna framgår att 31 arbetslöshetskassor inte har genomfört en riskanalys. Av dessa har tio arbetslöshetskassor antingen påbörjat eller planerat ett arbete med riskanalys. De arbetslöshetskassor som inte har något systematiskt arbete med riskanalys, uppger att de i huvudsak identifierar och värderar risker genom det löpande arbetet eller på förekommen anledning. Av dessa har 12 arbetslöshetskassor dokumenterat riskerna på annat sätt än i ett särskilt riskdokument, vanligtvis i olika typer av mötesprotokoll. Dock uppger ledningarna 19

för 30 arbetslöshetskassor att relevanta risker är kända bland medarbetarna i respektive organisation. För att internkontrollen ska fungera på ett tillfredställande sätt ska den vara en integrerad process i verksamheten. Medarbetare ska ha möjlighet att diskutera de risker och utvecklingsområden som personalen identifierar i sitt dagliga arbete. Vid intervjuerna uppgav ledningen vid 24 arbetslöshetskassor att man förde sådana samtal på medarbetarnivå. Det finns en påtaglig enhetlighet i de risker som arbetslöshetskassorna har identifierat. Av tabellen nedan framgår de vanligaste riskerna som arbetslöshetskassorna har identifierat. Tabell 1: De vanligaste riskerna arbetslöshetskassorna identifierat. Risk Antal arbetslöshetskassor 1 Ökad arbetslöshet 20 2 Datahaveri 16 3 Kort framförhållning vid regelförändringar 14 4 Personalförsörjning 13 5 Sjukdomsfall bland medarbetarna 9 Av de vanligaste riskerna är ökad arbetslöshet och kort framförhållning vid regelförändringar sådana som arbetslöshetskassorna inte kan undvika. Dock måste de ha beredskap för att hantera dem genom olika kontrollåtgärder. Av riskerna framgår också att arbetslöshetskassornas verksamhet är mycket känslig för störningar inom systemstöd och personal. Det är få arbetslöshetskassor som vid intervjuerna nämner risker relaterade till det interna arbetet. Fem arbetslöshetskassor nämner risken att den mänskliga faktorn kan förorsaka felaktiga beslut. Fyra arbetslöshetskassor framhåller att regelverket är så komplext att handläggare kan fatta felaktiga beslut. Det är bara en arbetslöshetskassa som uppger att man identifierat risken att medarbetare betalar ut pengar till sig själv eller närstående. En arbetslöshetskassa har identifierat en risk med att en enskild medlem lämnar felaktiga underlag i sin ansökan om 20

arbetslöshetsersättning. Endast två arbetslöshetskassor har identifierat felaktigt programmerade IT-system som en risk, trots att arbetslöshetskassornas verksamhet är beroende av systemen. 5.2.1 Internkontrollplan IAF har vid intervjuerna begärt att få ta del av arbetslöshetskassornas eventuella internkontrollplaner och genomförda riskanalyser. Med internkontrollplan avses i detta sammanhang ett dokument som beskriver hur arbetslöshetskassan ska arbeta med de moment som ingår i ett systematiskt arbete med internkontroll. Endast en arbetslöshetskassa har en upprättad internkontrollplan. Av övriga 31 arbetslöshetskassor har två påbörjat arbetet med att upprätta en internkontrollplan. 5.3 Kontrollåtgärder Utifrån en genomförd riskanalys ska lämpliga kontrollåtgärder vidtas. Antalet vidtagna kontrollåtgärder på arbetslöshetskassorna varierar. Kontrollåtgärderna har i regel inte vidtagits utifrån ett systematiskt arbete med riskanalyser. Korrekta beslut innebär att risken för felaktiga utbetalningar minimeras. En av förutsättningarna för att arbetslöshetskassornas handläggare ska kunna fatta korrekta beslut är att de har ett bra metodstöd att tillgå. Med metodstöd avses här bland annat lathundar, mallar, försäkringsexperter och handledare. Vid intervjuerna uppgav 31 arbetslöshetskassor att de har någon form av metodstöd för handläggning. Arbetslöshetskassornas metodstöd varierar i viss utsträckning utifrån organisationens storlek, struktur och lokalisering. På arbetslöshetskassor som är organisatoriskt stora och/eller har flera kontor, har handläggarna större möjligheter till stöd från olika expertfunktioner. Vid organisatoriskt mindre arbetslöshetskassor är handläggarna ofta beroende av en enda persons nyckelkompetens. Andra frågor där arbetslöshetskassorna skiljer sig åt är hur de utbildar nyanställda handläggare och i vilken utsträckning de har egna arbetsinstruktioner. De flesta arbetslöshetskassor uppger att de på olika sätt får stöd och vägledning genom SO 10. 10 Arbetslöshetskassornas Samorganisation 21

Vid intervjuerna belyste IAF frågan om arbetslöshetskassornas arbete med att förebygga och upptäcka interna oegentligheter, till exempel uppsåtligt felaktiga utbetalningar. Endast ledningen för en arbetslöshetskassa uppgav under intervjun att de har en systematisk rutin för att kontrollera att anställda inte betalar ut ersättning till sig själva. Flera arbetslöshetskassor uppgav också att de saknar en dokumenterad policy kring jäv för handläggare och/eller styrelse. IAF noterade att flera arbetslöshetskassor vid intervjuerna tog till sig dessa frågor och att de avser att arbeta mer med att motverka interna oegentligheter. 5.4 Information och kommunikation Vid intervjuerna har IAF översiktligt berört frågeställningar om hur arbetslöshetskassans ledning arbetar med att säkerställa att informationsflödet fungerar inom organisationen. Samtliga arbetslöshetskassor har någon form av organiserat informationsflöde. Däremot varierar det hur arbetslöshetskassorna har valt att arbeta med kommunikation och information. Det beror i hög utsträckning på organisationens storlek, struktur och om de finns på flera orter. IAF har valt att inte fördjupa sig i detta område men kan ändå se en tendens till att stora organisationer har utvecklat mer strukturerade informationskanaler medan mindre arbetslöshetskassor oftare förlitar sig på att de har korta informationsvägar. Genomgående för samtliga intervjuer var att ledningen för arbetslöshetskassorna uppgav att kommunikationen mellan kassaföreståndaren och styrelsens ordförande fungerar bra. 5.5 Uppföljning och utvärdering Enligt förordningen om intern styrning och kontroll ska en uppföljning av det systematiska arbetet med internkontroll genomföras, för att bedöma om den fungerar på ett betryggande sätt. I det regelverk som gäller för arbetslöshetskassorna finns idag inget som ställer krav på att de ska arbeta systematiskt med internkontroll. Av granskningen framgår också att endast en arbetslöshetskassa har ett systematiskt arbete med internkontroll. Därför har frågor om arbetslöshetskassornas uppföljning av processen inte varit meningsfulla. 22

Den uppföljning som istället kom att belysas genom intervjuerna var hur arbetslöshetskassorna följer upp sina verksamhetsmål. Samtliga arbetslöshetskassor följer på något sätt upp sin verksamhet. Uppföljningen av verksamhetsmålen sker dock på olika sätt. Graden av systematik i denna uppföljning varierar också mellan arbetslöshetskassorna. De mål arbetslöshetskassorna fokuserar på i sin uppföljning är ofta organisationens servicenivå gentemot medlemmarna. Många arbetslöshetskassor uppger att de regelbundet följer upp svarstider på telefon och handläggningstider för olika typer av ärenden. Däremot är det endast nio arbetslöshetskassor som systematiskt genomför intern granskning av ärenden för att säkerställa en korrekt tillämpning av arbetslöshetsförsäkringen. 23

Del 2 6 Arbetslöshetskassornas informationssystem, redovisning av IAF:s uppföljning Arbetslöshetskassornas svar på IAF:s enkät har sammanställts och redovisas i bilaga 3. Av redovisningen framgår de 25 utvecklingsområdena, vilka frågor som ställts, respektive områdes riskklassificering, hur arbetslöshetskassorna svarat samt om området är säkerställt i den enskilda arbetslöshetskassan eller inte. Ett utvecklingsområde är generellt säkerställt först då alla arbetslöshetskassor uppger området som säkerställt och att det är förankrat i respektive arbetslöshetskassas ledning. IAF:s uppföljning visar att 21 utvecklingsområden återstår för arbetslöshetskassorna att säkerställa. Inom parentes framgår det antal arbetslöshetskassor som inte har säkerställt området. Riskklass 1 -- Mycket kritiskt o Kontinuitetsplan (21) o Informationssäkerhetskrav i driftavtal (7) o Ändringshanteringsrutin (6) o Systemägarskap OAS (6) o Gruppkonton (4) Riskklass 2 -- Kritiskt o Systemsäkerhetsanalys OAS (32) o Driftdokumentation OAS (22) o Inga personuppgifter i testmiljö (19) o Lösenordsregler (13) o Dualitet för intern kontroll (12) o Dokumentation av tester i medlemssystem (11) o Driftavtal medlemssystem (7) o Godkännande av tester i medlemssystem (7) o Hantering av personuppgiftslagen, PuL (6) o Återläsningstest (6) o Behörighetskontroll (5) o Behörighetsrutin (5) o Begränsat antal användarkonton (1) Riskklass 3 -- Väsentligt o Loggranskning (23) o Test av programuppdateringar i OAS (9) o Patchhantering (6) 24

Arbetslöshetskassorna har endast säkerställt fyra av de 25 angivna utvecklingsområdena: Informationssäkerhetsansvar (riskklass 1) Myndighetsutövning i medlemssystem (riskklass 2) Inaktuella användarkonton (riskklass 2) och Användande av larmlista (riskklass 2). Utifrån de iakttagelser IAF gjorde i granskningen 2008, har arbetslöshetskassorna vidtagit ett antal åtgärder. Det framgår dock av IAF:s sammanställning att arbetslöshetskassorna kommit olika långt i sitt arbete och att ett antal områden kvarstår att säkerställa. 6.1 Utvecklingsområden inom riskklass 1 Diagram 3 visar kvarstående utvecklingsområden inom riskklass 1 samt det antal arbetslöshetskassor som inte har säkerställt respektive område. Diagram 3: Utvecklingsområden inom riskklass 1 och antal arbetslöshetskassor inom respektive område Kontinuitetsplan 21 Informationssäkerhetskrav i driftavtal 7 Ändringshanteringsrutin 6 Systemägarskap OAS 6 Gruppkonton 4 0 5 10 15 20 25 Antal arbetslöshetskassor Kontinuitetsplan Syftet med en kontinuitetsplan är att motverka avbrott i verksamheten, att skydda viktiga verksamhetsprocesser vid avbrott och att säkra återstart inom rimlig tid. Kontinuitetsplanering är ett basnivåkrav enligt BITS 11. 21 arbetslöshetskassor har inte säkerställt att en kontinuitetsplan finns upprättad för den egna och/eller 11 Basnivå för informationssäkerhet, Krisberedskapsmyndigheten, KBM, rekommenderar 2006:1 25

driftbyråns verksamhet. Flertalet av dem anger att arbete pågår som kommer att slutföras under hösten 2009. Informationssäkerhetskrav i driftavtal Utan tillräckliga krav på informationssäkerhet hos de leverantörer som svarar för driften av arbetslöshetskassornas informationssystem finns en risk att information inte hanteras på ett korrekt sätt. Detta kan innebära risker för systemets tillgänglighet och sekretess. Sju arbetslöshetskassor har inte ställt krav som motsvarar BITS på sina driftleverantörer. Alla uppger att kraven kommer att säkerställas i samband med att avtalen omförhandlas. Ändringshanteringsrutin Avsaknaden av en formaliserad rutin för hantering av ändringar i systemen försvårar möjligheten att följa en ändring genom processen samt ökar risken för att ändringar som inte är godkända blir driftsatta. En konsekvens av detta kan vara driftstörningar, avbrott eller att systemen inte fungerar som avsett. Sex arbetslöshetskassor har inte säkerställt området. Av dessa är det tre som har fastställd rutin externt men inte internt, två uppger att arbete pågår och en arbetslöshetskassa har en rutin men den är inte dokumenterad. Systemägarskap OAS Utan ett tydligt ansvar för kravställning och uppföljning av drift, säkerhet och användning av OAS ökar risken väsentligt att en nödvändig säkerhetsnivå inte uppnås. Alla arbetslöshetskassor har utrett systemägarrollen för OAS. Av arbetslöshetskassornas svar framgår att SO är central systemägare och arbetslöshetskassorna lokala systemägare. Sex arbetslöshetskassor har dock inte skapat ett tydligt ansvar för kravställning och uppföljning av drift, säkerhet och användning av systemet men anger att arbete pågår. Gruppkonton Om flera individer kan ha tillgång till samma användarkonto finns risk för att det i efterhand inte går att fastställa vem som utfört aktiviteter i systemet. Alla arbetslöshetskassor har säkerställt området när det gäller OAS. Avseende medlemssystem så uppger tre arbetslöshetskassor att området inte är säkerställt men att arbete pågår. En arbetslöshetskassa har inte besvarat frågan. 26

6.2 Utvecklingsområden inom riskklass 2 Diagram 4 visar kvarstående utvecklingsområden inom riskklass 2 samt det antal arbetslöshetskassor som inte har säkerställt respektive område. Diagram 4: Områden med riskklass 2 och antal arbetslöshetskassor Systemsäkerhetsanalys OAS Driftdokumentation OAS Personuppgifter i testmiljö Lösenordsregler Dualitet för intern kontroll Dokumentation av tester i medlemssystem Godkännande av tester i medlemssystem Driftavtal medlemssystem Återläsningstest Hantering av personuppgiftslagen, PuL Behörighetsrutin Behörighetskontroll Begränsat antal användarkonton 1 7 7 6 6 5 5 11 12 13 19 22 32 0 5 10 15 20 25 30 35 Antal arbetslöshetskassor Systemsäkerhetsanalys OAS En systemsäkerhetsanalys är ett basnivåkrav enligt BITS för samhällsviktiga informationssystem. En systemsäkerhetsanalys minskar risken för att användare inte är medvetna om risker och i vilken omfattning information skall skyddas. Analysen minskar även risken för intrång, obehörig åtkomst till information och förlust av data. Området är inte säkerställt av någon arbetslöshetskassa. Av arbetslöshetskassornas kommentarer till frågan framgår att systemägaren till OAS, SO, kommer att genomföra en systemsäkerhetsanalys under hösten 2009. Driftdokumentation saknas för OAS Avsaknad av, eller bristande, teknisk driftdokumentation ger ett ökat beroende av nyckelpersoner samt ökar risken för driftstörningar med risk för ökade utvecklingskostnader. Det försvårar även arbetslöshetskassornas möjlighet till kännedom om systemets tekniska miljö. 22 arbetslöshetskassor uppger att deras driftbyråer saknar tillräcklig teknisk driftdokumentation och/eller att denna inte uppnår den nivå som krävs enligt BITS. Av arbetslöshetskassornas kommentarer till frågorna framgår att arbete pågår hos driftleverantörer och SO för att förbättra dokumentationen. Några arbetslöshetskassor uppger också att kraven ska förtydligas i deras driftavtal. 27

Inga personuppgifter i testmiljö Enligt personuppgiftslagen (1998:204), 30, får personuppgifter inte behandlas av andra organisationer utan undertecknade personuppgiftsbiträdesavtal. Arbetslöshetskassorna riskerar att inte följa personuppgiftslagen i de fall personbiträdesavtal saknas med de organisationer som behandlar produktionsdata från informationssystemen. Avseende personuppgifter i testmiljö så har 17 arbetslöshetskassor uppgett att de inte är avpersonifierade. Två arbetslöshetskassor har inte besvarat frågan. Åtta arbetslöshetskassor har uppgett att de inte har personuppgiftsbiträdesavtal med alla organisationer som behandlar produktionsdata från arbetslöshetskassans system. Lösenordsregler jämförbara med BITS rekommendationer Vid bristande lösenordskrav finns risk att lösenord blir kända och obehöriga användare kan få tillgång till system och känslig information. 13 arbetslöshetskassor har inte implementerat lösenordsregler jämförbara med BITS. Av arbetslöshetskassornas kommentarer till frågan framgår att arbete pågår och kraven kommer att finnas för OAS i november 2009. Dualitet för intern kontroll Det finns en möjlig risk att en enskild handläggare både kan registrera en medlem och generera en utbetalning åt denne vilket ökar risken för interna oegentligheter. 12 arbetslöshetskassor har inte säkerställt området. Sju av dessa uppger att arbete pågår och två anger att dualitet inte är genomförbart på grund av arbetslöshetskassans storlek. Dokumentation av tester i medlemssystem Utan dokumenterade tester ökar risken för att viktiga tester inte blir utförda. Detta kan leda till minskad kännedom om systemets funktionalitet och eventuella brister. Uppstår ett systemfel i en ny version kan även möjligheten att identifiera felkällan försvåras. Elva arbetslöshetskassor dokumenterar inte genomförda tester. Av dessa är det fem arbetslöshetskassor som uppger att arbete pågår och tre arbetslöshetskassor som hänvisar till SO:s dokumentation av genomförda tester. I det följande beskrivs resterande utvecklingsområden på en övergripande nivå. 28

Sju arbetslöshetskassor saknar formella avtal för driften av sina medlemssystem. Detta kan innebära en ökad risk för störningar i systemets tillgänglighet och säkerhet. Fem arbetslöshetskassor godkänner inte förändringar i medlemssystemen innan de produktionssätts. Två arbetslöshetskassor har inte besvarat frågan. Detta kan innebära produktionssättning av förändringar som inte är godkända. Sex arbetslöshetskassor saknar dokumenterade instruktioner för hantering av personuppgifter och sekretess. Detta kan innebära att uppgifter inte hanteras i enlighet med gällande lagstiftning. Sex arbetslöshetskassor har inte ställ krav på sina driftleverantörer om frekvens och omfattning av återläsningstester för OAS och/eller medlemssystem. Detta kan innebära att systemen inte fungerar tillfredsställande efter datahaveri eller liknande händelse. Fem arbetslöshetskassor saknar en formell behörighetsrutin i den egna och/eller driftleverantörens hantering. Detta kan innebära att tilldelning eller borttag av behörigheter inte sker och dokumenteras på ett korrekt, godkänt och standardiserat sätt. Fem arbetslöshetskassor saknar en dokumenterad rutin för att kontrollera utdelade behörigheter i OAS och/eller medlemssystem. Detta kan innebära att obehöriga personer har tillträde till systemen och en ökad risk för interna oegentligheter. En arbetslöshetskassa har inte begränsat antal användarkonton med administratörsrättigheter till ett minimum. Arbetslöshetskassan uppger dock att arbete pågår. 6.3 Utvecklingsområden inom riskklass 3 23 arbetslöshetskassor har inte genomfört riskanalys och fastställt vilka systemhändelser som behöver övervakas. 22 arbetslöshetskassor har inte en rutin för regelbunden loggranskning av viktiga systemhändelser. Detta innebär en risk att arbetslöshetskassorna inte upptäcker obehöriga aktiviteter i systemen och försvårar möjligheten till analys och spårning av eventuella oegentligheter i systemen. Nio arbetslöshetskassor deltar inte i tester av programuppdateringar i OAS. Detta innebär en ökad risk för driftstörningar, avbrott eller att systemet inte fungerar som avsett. 29

Sex arbetslöshetskassor har inte specificerat kraven på programuppdateringar (patchning) mot sin driftbyrå. Om uppdateringar inte installeras löpande finns en risk för att felaktigheter kan utnyttjas av obehöriga. Vidare är sådana felaktigheter oftast allmänt kända och därmed ökar risken att säkerhetsbrister utnyttjas av obehöriga. 6.4 Internkontrollen i OAS och Äga Under december 2008 slutfördes implementeringen av arbetslöshetskassornas ärendehanteringssystem Äga. Den granskning av arbetslöshetskassornas informationssystem IAF gjorde 2008 innefattade således inte någon granskning av Äga. IAF fick under intervjuerna med arbetslöshetskassornas ledningar information om att den modul i Äga som beräknar normalarbetstid och dagsförtjänst för den enskilde inte var tillförlitlig i alla delar. Arbetslöshetskassorna hade valt olika sätt att hantera detta. Vissa använde beräkningsmodulen fullt ut och rapporterade upptäckta fel i enlighet med sina rutiner för felrapportering. Andra arbetslöshetskassor gjorde manuella kontrollräkningar av ärendena medan några inte använde sig av beräkningsmodulen överhuvud taget. I intervjuerna med arbetslöshetskassornas ledningar ingick några frågor om OAS och Äga. I detta avsnitt redovisar IAF frågorna och en sammanfattning av arbetslöshetskassornas svar. Följer behörigheter i OAS och Äga arbetslöshetskassans beslutsordning (gällande ansvar och befogenheter)? En knapp tredjedel av arbetslöshetskassorna har svarat ja. Resterande två tredjedelar uppger att det inte fungerar i alla delar eller att de är tveksamma eller osäkra på hur det fungerar. Vilka kontroller görs när ni inför nya versioner av OAS och Äga? Arbetslöshetskassorna uppger att SO genomför testning och kontroll innan driftsättning. Utöver det uppger hälften av arbetslöshetskassorna att de gör egna tester och kontroller innan nya versioner driftsätts. Hur fångar ledningen upp indikationer på brister i OAS och Äga? Samtliga arbetslöshetskassor har rutiner för att fånga upp och rapportera brister i systemen till Helpdesk, driftbyråer och/eller SO. Allvarligare brister rapporteras också via kassaföreståndare till respektive styrelse. 30

7 Sammanfattande analys IAF har granskat samtliga arbetslöshetskassors system och rutiner för internkontroll och följt upp granskningen av arbetslöshetskassornas informationssystem som IAF genomförde 2008. Arbetslöshetskassorna är privaträttsliga organisationer som i sin verksamhet utför uppgifter som innefattar myndighetsutövning. Arbetslöshetskassorna omfattas inte av myndighetsförordningen eller förordningen om intern styrning och kontroll. Lagen om arbetslöshetskassor anger inte några krav avseende internkontroll. Även om ovan nämnda förordningar inte är styrande för arbetslöshetskassorna anser IAF att de krav som ställs i dem är en rimlig utgångspunkt och referensram i den aktuella granskningen. Uppföljningen av arbetslöshetskassornas informationssystem har utgått från de utvecklingsområden som identifierades och den riskklassificering som gjordes i 2008 års granskning samt de statusrapporter som arbetslöshetskassorna lämnat till IAF. 7.1 Arbetslöshetskassornas grad av systematisk internkontroll Utifrån intervjuerna har IAF gjort en sammanfattande bedömning av arbetslöshetskassornas grad av systematisk internkontroll. Arbetslöshetskassornas arbete med internkontroll har IAF graderat i fyra nivåer; systematisk internkontroll systematisk internkontroll i vissa delar låg grad av systematisk internkontroll mycket låg grad av systematisk internkontroll 31

Diagram 1: IAF:s bedömning av arbetslöshetskassornas grad av systematisk internkontroll 25 20 Antal arbetslöshetskassor 15 10 5 23 0 4 4 1 Mycket låg grad av systematisk internkontroll Låg grad av systematisk internkontroll Systematisk internkontroll i vissa delar Systematisk internkontroll Av diagrammet framgår IAF:s bedömning av arbetslöshetskassornas grad av systematisk internkontroll. Bedömningen utgår i huvudsak från det som framkommit vid intervjuerna om arbetslöshetskassornas arbete inom momenten kontrollmiljö, riskanalys och kontrollåtgärder. En arbetslöshetskassa bedriver ett systematiskt internkontrollarbete. Fyra arbetslöshetskassor har systematisk internkontroll i vissa delar av sin verksamhet. 27 arbetslöshetskassor har en låg eller mycket låg grad av systematisk internkontroll. Endast en arbetslöshetskassa har en systematisk internkontroll. Det som utmärker den arbetslöshetskassan är bland annat att de har en plan för sin internkontroll och arbetar på ett systematiskt sätt med riskanalys. Utifrån de identifierade riskerna vidtar de relevanta kontrollåtgärder. Arbetslöshetskassan har i hög utsträckning dokumenterat sitt arbete med kontrollmiljö, riskanalys och kontrollåtgärder. Samtidigt finns det utvecklingsmöjligheter, till exempel genom en systematisk utvärdering av om arbetet med riskanalys och internkontroll fungerar som avsett. Fyra arbetslöshetskassor har systematisk internkontroll i vissa delar. Utmärkande för de arbetslöshetskassorna är att de medvetet arbetar med att utveckla arbetet med sin internkontroll. En indikator är att de är på väg att påbörja ett riskanalysarbete. Två av arbetslöshetskassorna arbetar även med att ta fram en plan för sitt arbete med internkontroll. Vid en samlad bedömning har dessa arbetslöshetskassor generellt sett en högre grad av 32

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss