Arbetslöshetskassornas system och rutiner för internkontroll samt informationssäkerhet

Relevanta dokument
Arbetslöshetskassorna och systematisk internkontroll

2016:25 Företag utan verksamhet. Uppföljning initierad av IAF

Arbetslöshetskassornas beslutsordningar

Omprövning av utträde vid bristande betalning

Kompletterande aktörer och Arbetsförmedlingens kontrollarbete Säkerställer Arbetsförmedlingen en korrekt avvikelserapportering?

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Arbetslöshetskassornas arbete med intern styrning och kontroll. Rapport 2018:7

Finansieringen av arbetslöshetsförsäkringen

Granskning av beslut efter inkomna underrättelser vid Kommunalarbetarnas arbetslöshetskassa

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

IAF:s granskning av ersättningsärenden: Kommunalarbetarnas arbetslöshetskassa

Granskning av beslut efter inkomna underrättelser vid GS arbetslöshetskassa

Regler och riktlinjer för intern styrning och kontroll vid KI

Granskning av beslut efter inkomna underrättelser vid Småföretagarnas arbetslöshetskassa

Förstagångsprövade företagarärenden vid Kommunalarbetarnas arbetslöshetskassa

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Arbetslöshetskassornas eget kapital och finansiella placeringar

Revisionsrapport Karolinska Institutet Stockholm

Anmälan hos Arbetsförmedlingen via e-tjänst, telebild eller telefon

3 Metod och genomförande

Arbetslöshetskassan Alfa Granskning av ekonomi. Rapport 2017:13

Förstagångsprövade företagarärenden vid Hotelloch restauranganställdas arbetslöshetskassa

Granskning av beslut efter inkomna underrättelser vid Hotell- och restauranganställdas arbetslöshetskassa

Kartläggning av arbetslöshetskassornas beslut efter underrättelse från Arbetsförmedlingen

IAF:s granskning av företagarärenden: Handelsanställdas arbetslöshetskassa

Effektmätning

Arbetslöshetskassornas eget kapital

Arbetslöshetskassornas verkställighet av domar

Granskning av arbetslöshetskassornas årsredovisningar 2015

Arbetslöshetskassornas medlemsavgiftsfordringar

Förstagångsprövade ersättningsärenden vid Hotell- och restauranganställdas arbetslöshetskassa

Avvikelsehantering och kunskapsåterföring - uppföljning

Arbetslöshetskassornas egna kapital och finansiella placeringar. Rapport 2019:9

Revisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Förstagångsprövade ersättningsärenden vid Arbetslöshetskassan Vision

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Beslut efter uppföljning för vuxenutbildning

Förstagångsprövade ersättningsärenden vid STs arbetslöshetskassa

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

IAF:s granskning av företagarärenden: Svensk handels och arbetsgivarnas arbetslöshetskassa

Anne-Marie Qvarfort. Kopia för kännedom: Arbetslöshetskassan Alfa Dnr 2009/422TO 1 (1)

Granskning av Arbetslöshetskassan Alfas ekonomi

Lokala regler och anvisningar för intern kontroll

Är arbetssökandes handlingsplaner. och aktuella?

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Myndigheten för samhällsskydd och beredskaps författningssamling

Förstagångsprövade ersättningsärenden vid Finans- och försäkringsbranschens arbetslöshetskassa

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Förstagångsprövade ersättningsärenden vid Ledarnas arbetslöshetskassa

Revisionsrapport. Riksrevisionens granskning av Sveriges riksbank Inledning

Förstagångsprövade ersättningsärenden vid IF Metalls arbetslöshetskassa

Justitiedepartementet Stockholm

Revisionsrapport. Uppföljande granskning av internkontrollen i samlingarna. 1. Sammanfattning

Revisionsrapport. Linköpings Universitets årsredovisning Sammanfattning

Förstagångsprövade ersättningsärenden vid Sveriges entreprenörers arbetslöshetskassa

Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009

Förstagångsprövade ersättningsärenden vid Arbetslöshetskassan för service och kommunikation

AMS utbetalning av statsbidrag till arbetslöshetskassorna

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Beslut efter uppföljning för grundsärskola, gymnasiesärskola och fritidshem

Konsekvensutredning rörande föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Vilka personer söker arbete i Europa med svensk arbetslöshetsersättning?

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Arbetslöshetskassornas handläggning av ärenden rörande personer med anställning i företag som hyr ut arbetskraft

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning Sammanfattning

Förstagångsprövade ersättningsärenden vid Arbetslöshetskassan Alfa

Kartläggning av arbetslöshetskassornas hantering av arbetsgivarintyget

Användningen av kvalificerade skyddsidentiteter inom det särskilda personsäkerhetsarbetet

Intern kontroll och riskbedömningar. Strömsunds kommun

Granskning av beslut efter inkomna underrättelser vid Akademikernas erkända arbetslöshetskassa

Förstagångsprövade ersättningsärenden vid Fastighets arbetslöshetskassa

Arbetsförmedlingens vidtagna åtgärder utifrån innehållet i aktivitetsrapporter

Förstagångsprövade ersättningsärenden vid Akademikernas erkända arbetslöshetskassa

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Förstagångsprövade ersättningsärenden vid Farmacitjänstemännens arbetslöshetskassa

Arbetslöshetskassorna som administratör av aktivitetsstöd

Länsstyrelsen i Kronobergs läns hantering av länsstyrelsernas samordnade löneservice

PM 2015:127 RVI (Dnr /2015)

Beslut efter uppföljning för förskoleklass och grundskola

Riktlinjer för intern kontroll

Beslut. Efter kvalitetsgranskning av huvudmannens kiagomålshantering

Hantering av uteslutning och frånkännande

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter uppföljning för vuxenutbildning

Beslut efter uppföljning för fritidshem

System för intern kontroll Spånga-Tensta Stadsdelsnämnd

Nya föreskrifter och allmänna råd

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Underrättelser som inte kommit arbetslöshetskassan tillhanda

Granskning av beslut efter inkomna underrättelser vid Arbetslöshetskassan Alfa

Revisionsplan för Linnéuniversitetet 2015

Handledning Samarbete om risker i verksamheten

Ekonomigranskning 2015

Granskning av beslut efter inkomna underrättelser vid Lärarnas arbetslöshetskassa

Informationssäkerhet för samhällsviktiga och digitala tjänster

Policy för internkontroll för Stockholms läns landsting och bolag

Förstagångsprövade företagarärenden vid Handelsanställdas arbetslöshetskassa

Transkript:

2010-10-29 Dnr 2010/80 T3 2010:24 Arbetslöshetskassornas system och rutiner för internkontroll samt informationssäkerhet Uppföljning till regeringen

2

Regeringen har i regleringsbrev för 2010 givit Inspektionen för arbetslöshetsförsäkringen (IAF) i uppdrag att: kartlägga samtliga åtgärder arbetslöshetskassorna vidtagit utifrån de iakttagelser som IAF redogjorde för i 2009 års regeringsuppdrag avseende arbetslöshetskassornas internkontroll och redovisa vilka arbetslöshetskassor som inte genomfört nödvändiga åtgärder för att komma till rätta med de brister som IAF redovisade i 2008 års granskning av arbetslöshetskassornas informationssäkerhet. IAF har presenterat föreliggande rapport för arbetslöshetskassorna och Arbetslöshetskassornas Samorganisation vid ett möte den 26 oktober 2010. Beslut i detta ärende har fattats av Anne-Marie Qvarfort, generaldirektör. Denna rapport har utarbetats av Petra Capelle och Anders Jansson (uppdragsledare). I den slutliga handläggningen av ärendet har även Kerstin M Claesson, Lars Seger och Gunilla Wandemo deltagit. Katrineholm den 29 oktober 2010 Anne-Marie Qvarfort Generaldirektör Gunilla Wandemo Chef för granskningsenheten Inspektionen för arbetslöshetsförsäkringen, IAF Box 210 641 22 Katrineholm Tfn: 0150-48 70 00 E-post: iaf@iaf.se www.iaf.se 3

4

Innehåll Sammanfattning... 7 1 Uppdraget... 8 1.1 Syfte... 8 2 Bakgrund... 8 2.1 Arbetslöshetskassorna och systematisk internkontroll (IAF rapport 2009:15)... 8 2.2 Granskning av arbetslöshetskassornas informationssystem (IAF dnr 2008/789 T3)... 9 2.2.1 Uppföljningar av 2008 års granskning av arbetslöshetskassornas informationssäkerhet... 10 3 Uppföljningens genomförande... 11 3.1 Insamlade uppgifter avseende intern styrning och kontroll... 11 3.2 Insamling av uppgifter avseende informationssäkerhet... 11 4 Arbetslöshetskassornas vidtagna åtgärder avseende intern styrning och kontroll... 12 4.1 Ökat fokus på intern styrning och kontroll... 12 4.2 Mål för verksamheten samt riskanalys... 13 4.3 Kontrollåtgärder... 13 4.4 Övergripande beskrivning av arbetet med intern styrning och kontroll... 14 4.5 Uppföljning... 14 5 Arbetslöshetskassornas vidtagna åtgärder avseende informationssäkerhet... 14 6 Sammanfattande diskussion... 15 6.1 Intern styrning och kontroll... 15 6.2 Informationssäkerhet... 17 5

6

Sammanfattning IAF har i regleringsbrevet för 2010 fått i uppdrag att: kartlägga samtliga åtgärder arbetslöshetskassorna vidtagit utifrån de iakttagelser som IAF redogjorde för i 2009 års regeringsuppdrag avseende arbetslöshetskassornas internkontroll och redovisa vilka arbetslöshetskassor som inte genomfört nödvändiga åtgärder för att komma till rätta med de brister som IAF redovisade i 2008 års granskning av arbetslöshetskassornas informationssäkerhet. IAF:s uppföljning av 2009 års rapport om arbetslöshetskassornas internkontroll visar att arbetslöshetskassorna tagit till sig av tankegångarna om införandet av en systematisk process för att styra och kontrollera verksamheten. Majoriteten av arbetslöshetskassorna uppger att de sedan tidpunkten för IAF:s kartläggning haft ett ökat fokus på dessa frågeställningar. Uppföljningen indikerar dock att införandet av intern styrning och kontroll som process befinner sig på en begynnande nivå för flertalet arbetslöshetskassor. Samtidigt redovisar de en mängd genomförda och planerade åtgärder. Uppföljningen visar även att det finns variationer i arbetslöshetskassornas arbete med den interna styrningen och kontrollen. Dessa variationer kan inte enbart förklaras av att varje organisation är unik och har specifika förutsättningar. En svårighet i arbetslöshetskassornas vidare arbete är att det saknas en reglering som förtydligar vilka generella krav som finns på arbetslöshetskassorna samt hur långtgående kraven ska vara för respektive arbetslöshetskassa. IAF återkommer därför i denna skrivelse med förslaget att regeringen bör överväga en reglering om intern styrning och kontroll i lagen (1997:239) om arbetslöshetskassor. IAF bedömer även att en sådan reglering kan utgöra ett viktigt verktyg för IAF:s fortsatta tillsyn över arbetslöshetskassorna. IAF:s uppföljning av 2008 års rapport om arbetslöshetskassornas informationssäkerhet visar att arbetslöshetskassorna nu uppger att de i allt väsentligt åtgärdat de brister som framkom i 2008 års granskning. Detta innebär att det efter den nu genomförda uppföljningen inte kvarstår några arbetslöshetskassor att följa upp i detta avseende. Arbetslöshetskassorna omfattas i alla delar inte av de generella krav på informationssäkerhet som gäller för statsförvaltningen. IAF:s uppfattning är att kraven på arbetslöshetskassornas informationssäkerhet, beträffande den hantering som innebär myndighetsutövning, bör följa kraven för den övriga statsförvaltningen. Detta motiveras framförallt av de stora belopp av allmänna medel som arbetslöshetskassorna hanterar i sin verksamhet och att verksamheten betecknas som samhällsviktig. IAF föreslår därför att regeringen överväger att utvidga Myndigheten för samhällsskydd och beredskaps föreskriftsrätt, inom området informationssäkerhet, till att även omfatta arbetslöshetskassorna. 7

1 Uppdraget IAF har i regleringsbrevet för 2010 fått uppdraget att: kartlägga samtliga åtgärder som de olika arbetslöshetskassorna har vidtagit utifrån de iakttagelser som IAF redogjorde för i 2009 års regeringsuppdrag avseende arbetslöshetskassornas internkontroll. IAF ska även redovisa vilka arbetslöshetskassor som inte genomfört nödvändiga åtgärder för att komma till rätta med de brister som IAF redovisade i 2008 års granskning av arbetslöshetskassornas informationssäkerhet. Denna skrivelse utgör IAF:s återrapportering av regeringsuppdraget. I skrivelsen ges inledningsvis en kortfattad bakgrund utifrån de två föregående rapporterna om internkontroll respektive informationssäkerhet. Därefter beskrivs i avsnitt tre hur IAF gått tillväga i genomförandet av denna uppföljning. I skrivelsens fjärde och femte avsnitt redovisas resultatet av uppföljningen. Därefter avslutas skrivelsen med en sammanfattande diskussion. 1.1 Syfte Skrivelsen syftar till att redovisa IAF:s uppföljning utifrån regeringsuppdraget att: kartlägga samtliga åtgärder arbetslöshetskassorna vidtagit utifrån de iakttagelser som IAF redogjorde för i 2009 års regeringsuppdrag avseende arbetslöshetskassornas internkontroll och redovisa vilka arbetslöshetskassor som inte genomfört nödvändiga åtgärder för att komma till rätta med de brister som IAF redovisade i 2008 års granskning av arbetslöshetskassornas informationssäkerhet. 2 Bakgrund Nedan följer en kortfattad redovisning av innehållet i 2009 års rapport om arbetslöshetskassornas internkontroll och 2008 års rapport om arbetslöshetskassornas informationssäkerhet. 2.1 Arbetslöshetskassorna och systematisk internkontroll (IAF rapport 2009:15) IAF fick i regleringsbrevet för 2009 i uppdrag att granska samtliga arbetslöshetskassors system och rutiner för internkontroll i syfte att säkerställa en rättssäker och effektiv tillämpning av Arbetslöshetsförsäkringen. IAF lyfter i slutrapporten fram att arbetslöshetskassorna till skillnad mot statliga myndigheter inte omfattas av några i lag reglerade krav på internkontroll. För statliga myndigheter framgår av myndighetsförordningen (2007:515) att 8

ledningen vid dessa ska säkerställa att det finns en intern styrning och kontroll som fungerar på ett betryggande sätt. Omkring 60 myndigheter omfattas vidare av förordning (2007:603) om intern styrning och kontroll. Förordningen utgör ett ramverk för myndigheternas arbete med intern styrning och kontroll och utgår från COSO. 1 IAF kartlade samtliga arbetslöshetskassors arbete med internkontroll genom intervjuer med styrelseordförande och kassaföreståndare i respektive arbetslöshetskassa. Intervjuerna inriktades på i vilken utsträckning arbetslöshetskassorna arbetade systematiskt med internkontroll. Vid bedömningen användes förordningen (2007:603) om intern styrning och kontroll och COSO som referenspunkt. Utifrån granskningens resultat gjorde IAF en sammanfattande bedömning av arbetslöshetskassornas grad av internkontroll indelat i fyra nivåer. IAF fann att en arbetslöshetskassa hade ett systematiskt arbete med internkontroll. Fyra arbetslöshetskassor hade systematisk internkontroll i vissa delar. Resterande 27 arbetslöshetskassor hade en låg (23) eller mycket låg (4) grad av systematisk internkontroll. Slutrapporten överlämnades till regeringen den 1 december 2009. I denna föreslår IAF att regeringen bör överväga att införa en ny bestämmelse med krav på internkontroll i lagen (1997:239) om arbetslöshetskassor. IAF lyfter i rapporten också fram att det i Finland under 2009 infördes en reglering i lag om internkontroll för de finska arbetslöshetskassorna. 2 Utöver rapporten till regeringen lämnade IAF även en skriftlig återkoppling till varje arbetslöshetskassa. 2.2 Granskning av arbetslöshetskassornas informationssystem (IAF dnr 2008/789 T3) IAF fick i regleringsbrevet för 2008 i uppdrag att granska arbetslöshetskassornas informationssystem i syfte att säkerställa att systemen ger korrekt och säkert stöd i beslut om arbetslöshetsersättning. IAF genomförde uppdraget i syfte att skapa en översiktlig bild av informationssäkerheten i besluts- och utbetalningssystemet OAS samt arbetslöshetskassornas medlemssystem vilka har central betydelse för handläggning, beslut om och utbetalning av arbetslöshetsersättning. Övriga system hos arbetslöshetskassorna, såsom olika ärendehanteringssystem, Internetkassan och e-kassan granskades inte. Arbetslöshetskassornas nya gemensamma ärendehanteringssystem (ÄGA), som vid denna tidpunkt inte införts fullt ut på arbetslöshetskassorna, omfattades inte heller av granskningen. Granskningen utfördes på två nivåer. En övergripande granskning av avtal gällande drift och förteckningar över utdelade behörigheter till systemen 1 COSO Committee of Sponsoring Organizations of the Treadway Commission är ett internationellt erkänt och vanligt förekommande ramverk för intern styrning och kontroll. 2 Lag om arbetslöshetskassor 603/1984 (Finland) 9

omfattade alla arbetslöshetskassor. Detta kompletterades med en djupgranskning av tio arbetslöshetskassor. Slutrapporten färdigställdes i oktober 2008 och identifierade 25 utvecklingsområden gällande arbetslöshetskassornas informationssäkerhet. Dessa områden riskklassificerades i tre nivåer; mycket kritiskt (6), kritiskt (16) och väsentligt (3). Vid bedömningen användes dåvarande Krisberedskapsmyndighetens rekommendationer Basnivå för informationssäkerhet (BITS) som referenspunkt. 3 2.2.1 Uppföljningar av 2008 års granskning av arbetslöshetskassornas informationssäkerhet IAF har vid tre tillfällen begärt skriftlig återkoppling från arbetslöshetskassorna med utgångspunkt från resultatet av 2008 års granskning av arbetslöshetskassornas informationssäkerhet. I samband med färdigställandet av 2008 års slutrapport anmodade IAF samtliga arbetslöshetskassor att inkomma med en lägesbeskrivning över hur arbetet med informationssäkerhet fortlöpte. Lägesbeskrivningarna skulle även innehålla en redogörelse för de eventuella åtgärder som arbetslöshetskassorna planerade att vidta och en tidplan för arbetet. Svaren inkom till IAF i december 2008. I samband med 2009 års regeringsuppdrag kring internkontroll fick IAF även ett uppdrag inom området informationssäkerhet. IAF skulle göra en uppföljning av det uppdrag IAF hade i regleringsbrevet för 2008 om granskning av arbetslöshetskassornas informationssystem. Av de enkätsvar IAF inhämtade från arbetslöshetskassorna, i samband med denna uppföljning, framgick att 21 av 25 utvecklingsområden inte hade säkerställts av alla arbetslöshetskassor. Detta innebar att de slutsatser IAF kommit fram till i 2008 års slutrapport kvarstod. En gemensam slutrapport avseende både internkontroll och informationssäkerhet överlämnades till regeringen den 1 december 2009. Efter det att 2009 års rapport överlämnats till regeringen anmodade IAF respektive arbetslöshetskassa att vidta åtgärder för att säkerställa kvarstående utvecklingsområden. Svar på denna anmodan inkom till IAF i mars 2010. Föreliggande skrivelse utgår delvis från dessa svar. I april 2010 färdigställdes vidare inom IAF en granskning av arbetslöshetskassornas medlemssystem. 4 3 Basnivå för informationssäkerhet (BITS), KBM rekommenderar, 2006:1, Krisberedskapsmyndigheten. 4 Granskning av informationssäkerheten i arbetslöshetskassornas medlemssystem, IAF rapport 2010:4 10

3 Uppföljningens genomförande Denna uppföljning bygger på skriftliga svar som inhämtats från arbetslöshetskassorna. Valet av angreppssätt utgår såväl från resursmässiga överväganden som från att uppdraget är mer begränsat än ursprungsgranskningarna. 3.1 Insamlade uppgifter avseende intern styrning och kontroll För att kartlägga de åtgärder arbetslöshetskassorna vidtagit utifrån de iakttagelser IAF redogjorde för i 2009 års regeringsuppdrag avseende internkontroll har IAF skickat ut två enkäter till samtliga arbetslöshetskassor. Den första enkäten skickades ut och besvarades i mars 2010, ungefär ett år efter att den ursprungliga granskningen inleddes. Den andra enkäten skickades ut i augusti och besvarades i september 2010. Frågorna i den första enkäten var utformade för att fånga de åtgärder arbetslöshetskassorna vidtagit inom området internkontroll sedan 2009 års granskning inleddes. I den andra enkäten gjordes en avstämning av vilka åtgärder som gjorts sedan detta första avrapporteringstillfälle. Ett inslag i båda enkäterna har varit att kartlägga arbetslöshetskassornas grad av dokumentation på området. I de fall arbetslöshetskassorna uppgett att sådan dokumentation funnits har IAF anmodat dem att bilägga denna till deras svar. Frågorna om internkontroll utgår, liksom i den tidigare granskningen, från hur området definieras i förordningen (2007:603) om intern styrning och kontroll och ramverket COSO. Enligt förordningen ska internkontroll vara en i verksamheten integrerad process. Grundtanken är att all verksamhet ska planeras, styras och följas upp med beaktande av de grundläggande momenten riskanalys, kontrollåtgärder, uppföljning och dokumentation. Då syftet med uppföljningen enbart varit att kartlägga arbetslöshetskassornas vidtagna åtgärder görs ingen uppdatering av den gradering av arbetslöshetskassornas arbete med internkontroll som presenterades i 2009 års rapport. 3.2 Insamling av uppgifter avseende informationssäkerhet I uppföljningen av IAF:s granskning av arbetslöshetskassornas informationssäkerhet har IAF i första hand utgått från svaren på den anmodan som gick ut till arbetslöshetskassorna i slutet av 2009 och besvarades i mars 2010. Denna anmodan gick ut som en åtgärd utifrån resultatet av 2009 års uppföljning och uppmanade respektive arbetslöshetskassa att vidta åtgärder för att kvalitetssäkra kvarstående utvecklingsområden. Arbetslöshetskassornas svar på anmodan redogör för de åtgärder som vidtagits sedan det föregående avstämningstillfället i september 2009. IAF har därefter kompletterat informationen i svaren på anmodan genom att för 21 arbetslöshetskassor göra ytterligare en avstämning. För dessa kom även ett antal frågor om informationssäkerhet att ingå i den andra enkäten om internkontroll. 11

4 Arbetslöshetskassornas vidtagna åtgärder avseende intern styrning och kontroll IAF har kartlagt de åtgärder arbetslöshetskassorna vidtagit utifrån de iakttagelser IAF redogjorde för i 2009 års rapport avseende arbetslöshetskassornas internkontroll. I detta avsnitt redovisas resultatet av denna uppföljning. 4.1 Ökat fokus på intern styrning och kontroll IAF har i uppföljningen tillfrågat arbetslöshetskassorna om arbetslöshetskassans ledning haft ett ökat fokus på internkontroll under det senaste året. En övervägande majoritet av arbetslöshetskassorna (28 av 32) uppger att så varit fallet. Av de fyra arbetslöshetskassor som svarar nej redovisar samtidigt tre att aktiviteter gällande intern styrning och kontroll finns inplanerade. Den fjärde arbetslöshetskassan uppger att man står inför en förestående fusion. Det är dock något färre arbetslöshetskassor (20 av 32) som uppger att ledningen förändrat sitt sätt att styra verksamheten utifrån detta ändrade fokus. Även Arbetslöshetskassornas Samorganisation (SO) har påbörjat ett arbete kring intern styrning och kontroll. I februari 2010 tillsattes en arbetsgrupp med syfte att stödja arbetslöshetskassorna i deras arbete med införandet av systematisk intern styrning och kontroll. Arbetet avslutades i juni och presenterades i en rapport. Rapporten innehåller en introduktion till begreppet intern styrning och kontroll i vilken bland annat följande anges: ESV:s handledning utgår från COSO. Den beskriver en verksamhet som många gånger är mycket mer omfattande än den varje arbetslöshetskassa bedriver på egen hand, men riktlinjerna och tankegångarna går att omsätta även i arbetslöshetskassornas vardag. Alla arbetslöshetskassor kan ha en grundstruktur för internkontroll som sedan kan byggas på utifrån verksamhetens storlek och organisation. Rapporten innehåller även en samling dokument som kan liknas vid ett metodstöd. I stort sett samtliga arbetslöshetskassor uppger i sin återrapportering till IAF att de vidtagit eller planerat en eller flera åtgärder med anknytning till den interna styrningen och kontrollen. Exempel på sådana åtgärder är att man utvecklat metoder och rutiner för riskanalys, ärendegranskning och verksamhetsplanering. Det finns också exempel på arbetslöshetskassor som uppger att de infört olika former av interna kontroller, till exempel för att säkerställa att ersättning inte utgår felaktigt till den egna personalen. En generell iakttagelse beträffande arbetslöshetskassornas svar är dock att det finns variationer i hur man valt att arbeta med intern styrning och kontroll. Det framgår även att man har kommit olika långt i detta arbete. 12

4.2 Mål för verksamheten samt riskanalys Intern styrning och kontroll ska utgöra en hjälp i arbetet för att med rimlig säkerhet uppnå verksamhetens mål. En förutsättning för en väl fungerande intern styrning och kontroll är ett aktivt arbete med riskanalys. Riskanalysen ska i sin tur ta sin utgångspunkt i verksamhetsmålen. I 2009 års granskning uppgav samtliga arbetslöshetskassor att definierade verksamhetsmål fanns. 25 arbetslöshetskassor uppger nu att man har dessa mål dokumenterade. Av dessa är det dock fem arbetslöshetskassor som i detta sammanhang sänt in sådana dokument som IAF inte uppfattat som någon egentlig dokumentation av arbetslöshetskassans verksamhetsmål, såsom exempelvis beslutsordning. Utifrån denna bedömning är det således omkring två tredjedelar av arbetslöshetskassorna som uppvisat dokumenterade verksamhetsmål. I 2009 års granskning av arbetslöshetskassornas arbete med internkontroll bedömde IAF att en arbetslöshetskassa genomfört och dokumenterat en riskanalys. Vidare framkom att tio arbetslöshetskassor hade påbörjat eller planerade att genomföra en riskanalys. I samband med 2009 års granskning återkopplade IAF till nästan alla arbetslöshetskassor att en åtgärd som de kunde vidta för att öka sin grad av internkontroll var att utveckla sitt arbete med riskanalys. I denna uppföljning uppger 20 arbetslöshetskassor att de har en dokumenterad riskanalys. Fem arbetslöshetskassor uppger dock att de har valt att inte inkomma med sin riskanalys. Tre av arbetslöshetskassorna motiverar detta med att informationen är för känslig, medan två hänvisar till att dokumenten ännu inte fastställts av arbetslöshetskassans styrelse. Utöver dessa fem är det ytterligare två arbetslöshetskassor som inte inkommit med dokument som kan anses motsvara efterfrågad dokumentation. Totalt är det således 13 av de 20 arbetslöshetskassorna som IAF bedömer har uppvisat dokument som kan anses motsvara en riskanalys. Samtidigt är det tio arbetslöshetskassor som uppger att de planerar att upprätta en riskanalys. Av dessa uppger åtta att det ska ske under 2010. Av de 13 arbetslöshetskassor som uppvisat en dokumenterad riskanalys är det åtta som har inkommit med dokumenterade verksamhetsmål. 4.3 Kontrollåtgärder Utifrån en genomförd riskanalys ska lämpliga kontrollåtgärder vidtas för att säkerställa att verksamhetens mål nås. I 2009 års granskning noterades att de kontrollåtgärder som arbetslöshetskassorna vidtog i regel inte utgick från ett systematiskt arbete med riskanalyser. Nu uppger 19 arbetslöshetskassor att de vidtar kontrollåtgärder utifrån genomförd riskanalys. Det kan dock noteras att fem av dessa enligt egen uppgift inte upprättat någon riskanalys. Arbetslöshetskassorna har nu också tillfrågats om de har dokumenterat sina kontrollåtgärder. IAF bedömer att nio arbetslöshetskassor uppvisat dokument 13

som kan anses motsvara en dokumentation av vilka kontrollåtgärder som ska vidtas utifrån genomförd riskanalys. 4.4 Övergripande beskrivning av arbetet med intern styrning och kontroll Med en övergripande beskrivning av arbetet med intern styrning och kontroll avses ett dokument som beskriver hur arbetslöshetskassans arbete med intern styrning och kontroll ska genomföras. I 2009 års granskning hade en arbetslöshetskassa en dokumenterad beskrivning av hur arbetet med intern styrning och kontroll skulle genomföras. Nu uppger 17 arbetslöshetskassor att de har en dokumenterad övergripande beskrivning för arbetet med intern styrning och kontroll. Enligt IAF:s bedömning är det fem arbetslöshetskassor som inkommit med dokumentation som kan anses innehålla en sådan beskrivning. Bland de tolv övriga som uppgett att de har en sådan dokumentation framgår av insänt material att det är det flera arbetslöshetskassor som påbörjat ett arbete med att utarbeta en sådan beskrivning. Samtidigt uppger 14 arbetslöshetskassor att de under det närmaste året planerar att upprätta en övergripande beskrivning av arbetet med intern styrning och kontroll. 4.5 Uppföljning Enligt förordningen (2007:603) om intern styrning och kontroll ska uppföljning genomföras för att bedöma om arbetet med den interna styrningen och kontrollen fungerar på ett betryggande sätt. I 2009 års granskning framkom att ingen arbetslöshetskassa följt upp den interna styrningen och kontrollen. Nu uppger tre arbetslöshetskassor att de har genomfört en sådan uppföljning. Två arbetslöshetskassor har också inkommit med dokumentation på detta område. IAF bedömer dock inte att dokumentationen i dessa fall är av en sådan omfattning att den fullt ut kan anses motsvara de krav som framgår av förordningen (2007:603) om intern styrning och kontroll. 5 Arbetslöshetskassornas vidtagna åtgärder avseende informationssäkerhet IAF:s granskning av arbetslöshetskassornas informationssäkerhet avrapporterades till regeringen i oktober 2008. Som framgår av bakgrunden i denna skrivelse har IAF vid tre tidigare tillfällen begärt återkoppling från arbetslöshetskassorna utifrån denna granskning. Svaren på 2009 års anmodan att kvalitetssäkra kvarstående utvecklingsområden, vilket utgjorde den tredje återkopplingen från arbetslöshetskassorna, inkom till IAF i mars 2010. 14

Sammantaget visar de föregående uppföljningar IAF genomfört att arbetslöshetskassorna tagit till sig av de iakttagelser IAF gjorde i 2008 års granskning. Arbetslöshetskassorna har vid de olika avstämningstillfällena redovisat ett stort antal vidtagna och planerade åtgärder utifrån de brister IAF påvisat genom sin granskning. De har också genom det så kallade ISAK-projektet bedrivit ett gemensamt arbete för att med stöd av SO implementera en informationssäkerhetshandbok för arbetslöshetskassorna. 5 Vid en genomgång av arbetslöshetskassornas svar på IAF:s anmodan i mars 2010 framkom att det för ett antal arbetslöshetskassor fortfarande kvarstod aktiviteter för att åtgärda de brister som framkommit i 2008 års granskning. Några aktiviteter gällde sådant som skulle åtgärdas av de enskilda arbetslöshetskassorna, annat gällde restpunkter som återstod att hantera av arbetslöshetskassornas driftbyråer. För 21 arbetslöshetskassor har IAF i arbetet med denna uppföljning därför inhämtat ytterligare uppgifter om vidtagna åtgärder. IAF kan konstatera att arbetslöshetskassorna nu uppger att de i allt väsentligt åtgärdat de brister som framkom i 2008 års granskning. Inom i huvudsak två av de då identifierade utvecklingsområdena återstår vissa avgränsade aktiviteter för att slutföra arbetet. Den planering arbetslöshetskassorna uppger för slutförandet är dock sådan att IAF bedömer att även dessa utvecklingsområden kan bedömas som säkerställda. 6 Sammanfattande diskussion 6.1 Intern styrning och kontroll Landets 32 arbetslöshetskassor har bemyndigats att hantera utbetalning av arbetslöshetsförsäkring enligt lagen (1997:238) om arbetslöshetsförsäkring. Denna verksamhet är komplex och innebär en hantering av stora belopp, både av allmänna medel och medel från de försäkrade. Ett införande av en reglering om intern styrning och kontroll i lagen (1997:239) om arbetslöshetskassor skulle ge staten ett effektivt verktyg för att följa upp hur arbetslöshetskassorna fullgör detta uppdrag. Ett sådant införande är samtidigt en förutsättning för att IAF ska kunna bedriva en på tillsyn inriktad granskning av arbetslöshetskassornas verksamhet i detta avseende. Ett systematiskt arbete med intern styrning och kontroll på arbetslöshetskassorna skulle vidare kunna främja arbetslöshetsförsäkringens legitimitet och bidra till att motverka felaktiga utbetalningar. Ett införande av en sådan arbetsprocess skulle exempelvis kunna stärka arbetslöshetskassornas förmåga att identifiera de risker som kan hota en rättssäker tillämpning av 5 Arbetslöshetskassorna har under ledning av Arbetslöshetskassornas Samorganisation, arbetat med att implementera Informationssäkerhetshandbok för a-kassorna i sina verksamheter. Arbetet benämndes ISAK-projektet och bedrevs under perioden november 2008 - mars 2009. 15

arbetslöshetsförsäkringen. En väl genomförd riskanalys underlättar också för arbetslöshetskassorna att vidta lämpliga kontrollåtgärder, vilka annars riskerar att bli både otillräckliga och felaktiga. IAF:s uppföljning av 2009 års rapport om internkontroll visar att arbetslöshetskassorna tagit till sig av tankegångarna om införandet av en systematisk process för att styra och kontrollera verksamheten. Majoriteten av arbetslöshetskassorna uppger att man sedan tidpunkten för IAF:s kartläggning haft ett ökat fokus på dessa frågeställningar. Uppföljningen indikerar dock att införandet av intern styrning och kontroll som process befinner sig på en begynnande nivå för flertalet arbetslöshetskassor. Samtidigt redovisar de en mängd genomförda och planerade åtgärder. Detta innebär att flertalet arbetslöshetskassor förbättrat sin situation sedan 2009 års kartläggning. Vidare har SO drivit ett gemensamt utvecklingsprojekt för att stödja arbetslöshetskassorna i detta arbete. En tydlig utgångspunkt för arbete med intern styrning och kontroll är att det ska utgå från verksamhetens mål. 6 Av förarbetena till förordningen (2007:603) om intern styrning och kontroll framgår att utgångspunkten för införandet av regleringen var att stärka styrningen av att uppsatta krav och mål för statliga myndigheter uppnås. 7 En bärande tankegång är också att det ska möjliggöra för regeringen att kunna följa upp hur myndigheterna fullgör sitt uppdrag. Statliga myndigheter får i huvudsak sina verksamhetsmål definierade genom instruktion och regleringsbrev. Här anges inriktningen för myndigheternas verksamhet både på ett övergripande plan och på en mer detaljerad nivå, genom exempelvis specifika uppdrag. Regeringen anger genom myndighetsförordningen (2007:515) också generella verksamhetskrav för hur dessa mål ska uppnås. Verksamheten ska bland annat bedrivas effektivt och enligt gällande rätt. Arbetslöshetskassornas verksamhet regleras istället främst i lagen (1997:239) om arbetslöshetskassor med underliggande författningar där det framgår ett antal krav som rör arbetslöshetskassornas ekonomi och organisation. Där framgår också att de ska tillämpa bestämmelserna i lagen (1997:238) om arbetslöshetsförsäkring korrekt. Utöver detta saknas, i jämförelse med statliga myndigheter, en mer detaljerad styrning av arbetslöshetskassornas verksamhet. De krav som framgår av myndighetsförordningen (2007:515) och förordningen (2007:603) om intern styrning och kontroll är därför inte direkt tillämpbara på arbetslöshetskassornas verksamhet. Uppföljningen visar att det finns variationer i arbetslöshetskassornas arbete med den interna styrningen och kontrollen. Dessa variationer kan inte enbart förklaras av att varje organisation är unik och har specifika förutsättningar. Att arbeta med intern styrning och kontroll som process var 2009 nytt för de 6 Så som intern styrning och kontroll definieras i förordning (2007:603) om intern styrning och kontroll och COSO. 7 Intern styrning och kontroll i staten, DS 2006:15, s 45-46. 16

flesta arbetslöshetskassor. En svårighet i deras vidare arbete är också att det saknas en reglering som förtydligar vilka krav som finns på arbetslöshetskassorna i detta avseende. Då arbetslöshetskassorna skiljer sig åt, bland annat avseende organisation och storlek på betalningsflöden, är de också i behov av en reglering för att klargöra hur långtgående kraven ska vara för respektive arbetslöshetskassa. För den enskilda arbetslöshetskassan är det viktigt att en reglering inte bara tydliggör det ansvar som vilar på ledningen i sin styrning av verksamheten, utan också vilken omfattning på den interna styrningen och kontrollen som ska gälla för den egna organisationen. I föregående rapport framförde IAF att regeringen bör överväga en reglering om internkontroll i lagen (1997:239) om arbetslöshetskassor. IAF återkommer härmed med detta förslag. IAF bedömer även att en sådan reglering kan utgöra ett viktigt verktyg för IAF:s fortsatta tillsyn över arbetslöshetskassorna. 6.2 Informationssäkerhet Användningen av informationsteknik ökar kontinuerligt och inom alla sektorer i samhället. Säkerhet och användarvänlighet är av avgörande betydelse för förtroendet för dessa tjänster och system. Förmågan att skydda ett informationssystem från otillåten insyn eller påverkan är central. En etablerad definition av informationssäkerhet är att den avser förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet vid hantering av information. 8 IAF kan konstatera att arbetslöshetskassorna utifrån resultatet av IAF:s redovisning vidtagit ett stort antal åtgärder i syfte att förbättra sin informationssäkerhet. Utifrån de uppgifter arbetslöshetskassorna lämnat till IAF framgår också att man i stort uppger sig ha genomfört nödvändiga åtgärder, för att komma till rätta med de brister som IAF redovisade i 2008 års granskning av arbetslöshetskassornas informationssäkerhet. Detta innebär att det efter den nu genomförda uppföljningen inte kvarstår några arbetslöshetskassor att följa upp i detta avseende. Arbetslöshetskassornas svar indikerar sammantaget en avsevärd förbättring av informationssäkerheten i de granskade systemen, jämfört med situationen vid tidpunkten för granskningen. Av de uppföljningar IAF genomfört framgår att ett särskilt stöd i detta arbete har varit det gemensamma utvecklingsarbete arbetslöshetskassorna genomfört i SO:s regi, inom ramen för det så kallade ISAK-projektet. Sedan tidpunkten för IAF:s granskning har det skett ett antal förändringar beträffande arbetslöshetskassornas informationssystem. Arbetslöshetskassorna har bland annat infört ett nytt gemensamt ärendehanteringssystem (ÄGA) som således inte var föremål för 2008 års granskning. Vidare var den granskning som genomfördes 2008 översiktlig och omfattade heller inte alla 8 Samhällets informationssäkerhet - Lägesbedömning 2009, s 13, Myndigheten för samhällsskydd och beredskap., Basnivå för informationssäkerhet (BITS), KBM rekommenderar, 2006:1, s 8, Krisberedskapsmyndigheten. 17

av de då befintliga systemen på arbetslöshetskassorna. Detta innebär att IAF, även om många förbättringar gjorts, inte kan lämna en sammanfattande bedömning av arbetslöshetskassornas informationssäkerhet. Arbetslöshetskassorna hanterar genom sina informationssystem ett komplicerat regelverk och stora betalningsflöden, något riksdag och regering förutsätter ska fungera. Bidragande till frågans komplexitet är att denna informationshantering, med tillhörande informationssäkerhetsansvar, är uppdelad på 32 självständiga organisationer. Arbetslöshetskassorna ingår också i sin dagliga verksamhet i ett omfattande informationsutbyte med statliga myndigheter och andra aktörer. Ett elektroniskt informationsutbyte med andra EU-länder inom arbetslöshetskassornas område håller även på att utvecklas. Vidare klassificerar Myndigheten för samhällsskydd och beredskap utbetalning av arbetslöshetsersättning som samhällsviktig verksamhet. 9 IAF kan mot bakgrund av ovanstående konstatera att arbetslöshetskassornas informationssäkerhet kommer att vara en fortsatt viktig fråga både för dem själva, de försäkrade och samhället i stort. Uttryckliga krav för arbetslöshetskassornas informationssäkerhet återfinns idag i personuppgiftslagen (1998:204) och arkivlagen (1990:782) med underliggande författningar. Datainspektionen och Riksarkivet är vidare behöriga tillsynsmyndigheter för att tillse att arbetslöshetskassorna följer sina skyldigheter enligt de juridiskt bindande regler som följer av dessa författningar. 10 IAF:s mandat innefattar dock inte att bedriva en på tillsyn och beslut om sanktioner inriktad granskning av arbetslöshetskassornas informationssäkerhet i den nu aktuella meningen. 11 IAF kan däremot bistå övriga myndigheter som i sin granskning är i behov av kunskap från IAF:s tillsynsområde. IAF kan vidare konstatera att MSB:s föreskriftsrätt inom området informationssäkerhet enbart omfattar statliga myndigheter. På grund av sin föreningsrättsliga status lyder inte arbetslöshetskassorna under MSB:s föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10). Detta innebär att arbetslöshetskassorna i alla delar inte omfattas av de generella krav på informationssäkerhet som gäller för statsförvaltningen. IAF:s uppfattning är att kraven på arbetslöshetskassornas informationssäkerhet, beträffande den hantering som innebär myndighetsutövning, bör följa kraven för den övriga statsförvaltningen. Detta motiveras framförallt av de stora belopp av allmänna medel som arbetslöshetskassorna hanterar i sin verksamhet samt att denna verksamhet betecknas som samhällsviktig. IAF föreslår därför att regeringen överväger att utvidga MSB:s föreskriftsrätt inom 9 Samhällsviktig verksamhet, Faktablad 2009, Myndigheten för samhällsskydd och beredskap. 10 Datainspektionen är enligt 2 personuppgiftsförordningen (1998:1191) tillsynsmyndighet enligt personuppgiftslagen. Riksarkivet är enligt 8-11 arkivförordningen (1991:446) samt 2 och 7-8 arkivlagen (1990:782) ansvarig myndighet för tillsynen av att bl.a. arbetslöshetskassorna fullgör sina skyldigheter enligt arkivlagstiftningen. Riksarkivet har också under 2010 inom ramen för sitt uppdrag genom en enkät om elektroniska handlingar kartlagt samtliga arbetslöshetskassornas arbete med informationssäkerhet utifrån arkivlagens perspektiv. 11 Begreppet tillsyn i enlighet med Regeringens skrivelse 2009/10:79, En tydlig, rättssäker och effektiv tillsyn, s 14. 18

området informationssäkerhet till att även omfatta arbetslöshetskassorna. Detta bör också bidra till att säkerställa att arbetslöshetskassorna inte förbises i nationella handlingsplaner och strategier beträffande informationssäkerhet. Detta skulle även kunna bidra till att arbetslöshetskassorna får samma möjlighet till stöd i dessa frågor som statliga myndigheter. 19

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss