Hantering av IT-risker

Relevanta dokument
Övergripande IT- och informationssäkerhet

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Förstudie: Övergripande granskning av ITdriften

Revisionsrapport stöd till användarna av IT-system i vårdverksamheterna, Landstinget i Östergötland

Kontroll av anställdas bisysslor

Revisionsrapport Granskning av kontroll av anställdas bisysslor. Landstingsstyrelsen tillstyrker landstingsfullmäktige BESLUTA

Styrning av behörigheter

Patientbemötande i vården. Landstinget i Östergötland. Revisionsrapport. Datum

Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

Egenkontroll avseende riskhantering

Landstingets ärende- och beslutsprocess

Revisionsrapport egenkontroll avseende riskhantering fungerar egenkontrollen med verktyget RH-check på ett tillfredsställande sätt?

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Landstingets ärende- och beslutsprocess - uppföljning

Stöd till användarna av IT-system i vårdverksamheter

Uppföljning avseende granskning kring Avtalstrohet

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Övergripande granskning av ITverksamheten

Integrerat ledningssystem. Landstinget Gävleborg. Revisionsrapport. Mars 2011 Lars-Åke Ullström David Emanuelsson

Övergripande granskning av IT-driften - förstudie

Revisionsrapport Ledningssystemet Stratsys

Revisionsrapport Miljöarbetet inom Region Östergötland

Uppföljningsrapport IT-revision 2013

Intern kontroll i kommunen och dess företag. Sollefteå kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av efterarbetes- och uppföljningsprocessen efter avslutad upphandling inom Båstad Kommun.

Kontroll av anställdas bisysslor

Svar på revisionsskrivelse informationssäkerhet

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Ärende- och dokumenthantering

Samverkan kring uppsökande verksamhet och nödvändig tandvård

Kommunrevisionen KS 2016/00531

Landstinget Kronoberg

Granskning av upphandlingsverksamheten. Sandvikens kommun

Beredskap för att möta katastrofer, attentat och sabotage i kollektivtrafiken

Investeringsprocessen för medicinteknisk utrustning

Revisionsrapport. Översiktlig granskning av den interna styrningen och kontrollen * Sammanfattande resultat. Ljusdals kommun

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Uppföljande granskning av landstingsstyrelsens kontroll över konstföremål

Granskning av budgetprocessen. Landstinget Värmland. Landstinget Värmland

Revisionsrapport Budgetprocessen Pajala kommun Anna Carlénius Revisonskonsult

Kvalitet inom äldreomsorgen

Privata vårdgivare förstudie

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Halmstads kommun. Revisionsrapport. Hemvårdsnämndens kvalitetsuppföljning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem. Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Emil Forsling Auktoriserad revisor. Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014

Intern kontroll och riskbedömningar. Strömsunds kommun

Årsrapport NU-sjukvården Diarienummer REV

Granskning av kommunens hantering av styrdokument

Granskningsredogörelse Styrning och intern kontroll översiktlig granskning

Arbetet kring ensamkommande. Halmstads kommun

Arboga kommun. Granskning av investeringsprocessen. Projektplan KPMG AB Antal sidor: 5

Intern kontroll och riskbedömningar. Sollefteå kommun

Revisionsrapport Intern kontroll inom Landstinget Dalarna

Revisionsrapport Styrning och ledning av psykiatrin

Uppföljande granskning av landstingets strategiska råd och grupper

Ansvarsutövande: Miljönämnden Sundsvalls kommun

Internrevisionens årsrapport 2017

Landstingets revisorer

Landstingets miljöarbete uppföljning

Projekthantering inom landstinget i Värmland - en förstudie

Projekt inom utvecklingsenheten

Svar på revisionsskrivelse med anledning av granskning av landstingets remisshantering

Palliativ vård, uppföljning. Landstinget i Halland. Revisionsrapport. Mars Christel Eriksson, certifierad kommunal revisor

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10

Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009

Nya regler om styrning och riskhantering

Generella IT-kontroller uppföljning av granskning genomförd 2012

Leksands kommun. Revisionsrapport. Sammanfattning Kommunstyrelsens ansvar för ledning, styrning och uppföljning av kommunkoncernens.

Kundfordringar en uppföljande granskning

Bilaga Från standard till komponent

Svar på revisionsrapport om kommunens IT-strategi

Ansvarsutövande: Barn- och utbildningsnämnden Sundsvalls kommun

Uppföljning av tidigare granskning av kommunens fordon

Temagranskning Patientsäkerhet - sammanfattande rapport. Region Västmanland

Granskning av hur väl stödet av ekonomitjänster fungerar

IT-säkerhet Internt intrångstest

Granskning av intern kontroll

Produktionsplanering

Granskning av landstingets hantering av personuppgifter

Kvalitetsledningsarbetet

Revisionsrapport. Internkontroll - Finspångs kommun år Ref R Wallin

Diarienummer REV Revisionens ramplanering 2018 Revisorskollegiet Västra Götalandsregionen

Riktlinjer för intern kontroll

Uppföljning av upphandling svar på revisionsskrivelse

Utvecklingsplan för god och jämlik vård. Revisionspromemoria. LANDSTINGETS REVISORER Revisionskontoret

Revisionen i finansiella samordningsförbund. seminarium

Metodstöd 2

REVISIONSPLAN FÖR ÅR 2012

Landskrona stad. Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten.

2014 års patientsäkerhetsberättelse för:

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll

Ansvarsutövande: Överförmyndarnämnden

Metodstöd 2

Granskning intern kontroll

Transkript:

Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10

Innehållsförteckning 1. Inledning... 3 1.1 Bakgrund... 3 1.2 Revisionsfrågor... 3 1.3 Metod, genomförande och avgränsningar... 3 1.3.1 Avgränsning... 4 1.3.2 Definitioner... 4 1.3.3 Landstingets IT organisation... 4 2. Revisionell bedömning och iakttagelser... 5 2.1. Landstingets organisation avseende IT... 6 2.2 Har landstinget ett ändamålsenligt arbetssätt rörande riskhantering inom IT-området? 7 2.3 Är roller och ansvar i processen för riskhantering inom IT-området tydligt definierade? 8 2.4 Inkluderar riskhanteringsprocessen effektiv kommunikation mot samtliga intressenter?... 9 2.5 Adresserar landstingets riskhanteringsprocess de mest väsentliga riskerna inom IT? 10 2 av 10

1. Inledning På uppdrag av revisorerna i Landstinget i Östergötland (LiÖ) har PwC genomfört en granskning avseende IT-riskhanteringen. Uppdraget inleddes med en förstudie som genomfördes under maj månad 2010. 1.1 Bakgrund Under senare år har frågan om riskhantering fått ökat genomslag. Att arbeta proaktivt för att undvika incidenter är numera en naturlig del av den dagliga verksamheten inom en organisation. En effektiv och framgångsrik riskhantering bygger på ett helhetsperspektiv. Kvaliteten, säkerheten och effektiviteten i organisationens interna processer ökar och organisationen skyddas mot t ex obehöriga dataintrång samtidigt som beredskapsmedvetandet stärks inom organisationen. Sammantaget bidrar en strukturerad riskhantering till ett ökat förtroende för verksamheten. För ett landsting är detta även viktigt ur ett patientsäkerhetsperspektiv. Hanteringen av risker inom IT-området får allt större betydelse då verksamheten blir allt mer beroende av stöd från IT-system. Inom landstingets verksamhet är användningen av IT utbredd och det finns en omfattande infrastruktur och ett stort antal system som hanterar alltifrån patientjournaler till löner. 1.2 Revisionsfrågor En genomförd förstudie inom området under maj månad 2010 indikerade brister avseende riskhanteringsprocessen. Denna granskning syftar till att bedöma landstingets arbete att hantera risker inom IT-området, från identifiering och prioritering till hantering och styrning. Följande övergripande revisionsfrågor ska besvaras: Har landstinget ett ändamålsenligt arbetssätt rörande riskhantering inom ITområdet? Är roller och ansvar i processen för riskhantering inom IT-området tydligt definierade? Inkluderar riskhanteringsprocessen effektiv kommunikation mot samtliga intressenter? Adresserar landstingets riskhanteringsprocess de mest väsentliga riskerna inom IT? Granskningen genomförs utifrån risk- och väsentlighetsanalys och i enlighet med revisionsplan 2010. 1.3 Metod, genomförande och avgränsningar Som metod vid granskningen användes PwC IT Risk and Diagnostic Tool (ITRD), där intervjuer samt granskning av dokumentation utgjorde de mest centrala momenten. Eventuella avvikelser har stämts av med berörda personer löpande under uppdraget. Metoden i kombination med PwC Audit Guidelines täcker väl in de mest väsentliga delarna av LiÖs hantering av IT-risker enligt de huvudområden som listats nedan: 3 av 10

Övergripande styrning av IT IT-policys IT-processer Regelefterlevnad och uppföljning Roller och ansvar Incidenthantering I detalj innehåller ITRD 36 områden som behandlas med utgångspunkt i en riskbaserad ansats. Dessa områden inkluderas i varierande omfattning för att på bästa sätt anpassa granskningen till rådande förhållanden och omständigheter. 1.3.1 Avgränsning Granskningen avser främst IT utifrån infrastruktur, nät och system. Granskningen avgränsas till affärsområde IT inom FM centrum, Vårdprocesscentrum och sakkunniggruppen inom ledningsstaben. Vi har inte granskat specifika applikationer. Vidare har representanter från IT-samordnarfunktionen intervjuats för att fånga upp vårdens perspektiv på hantering av ITrelaterade risker. IT-samordnarfunktionen representerades av Sinnescentrum och IT-rådet, vilket representerar samtliga centrum. Medicinsk Teknik inkluderades under granskningens gång för att skapa en bredare bild kring hanteringen av IT-relaterade risker inom vården då Medicinsk Teknik har en tydlig koppling till vårdverksamheten respektive IT. Följande funktioner har berörts i revisionen (se även avsnitt 1.3.3 nedan); Ledningsstaben FM Centrum, FCIT (efter omorganisationen av IT benämns nu funktionen Affärsområde IT) Vårdprocess Centrum (VPC) Medicinsk Teknik Representation från IT-samordnarfunktionen 1.3.2 Definitioner Stödverksamheten definieras i denna rapport som VPC, FCIT samt Medicinsk Teknik. Vårdverksamheten avser landstingets kärnverksamhet d v s vården. 1.3.3 Landstingets IT organisation Landstingsledningen har under genomförandet av granskningen fattat beslut om att omorganisera IT. Genomförandet av denna förändring har ej gjorts fullt ut i organisationen vid tidpunkten för granskningen. PwC har dock i rapporten, vid svarande på revisionsfrågorna, tagit hänsyn till att ett beslut är fattat och att två av stödverksamheterna kommer att slås ihop till en. Se vidare information under kapitel 2. 4 av 10

2. Revisionell bedömning och iakttagelser Detta avsnitt sammanfattas de iakttagelser och bedömningar granskningen har gjort inom respektive revisionsfråga. Landstinget har beslutat att slå samman VPC och FCIT till en organisatorisk enhet. Antalet beröringspunkter mellan stödverksamheterna har i och med omorganisationen, när den väl införts, minskat. Nedan tabell beskriver trafikljusens betydelse på respektive revisionsfråga. Nivå Beskrivning Bristfällig och hög risk föreligger I stora drag bristfällig och relativt hög risk föreligger Delvis bristfällig och viss risk föreligger I stora drag ändamålsenlig och relativt låg risk förekommer Ändamålsenlig och låg risk föreligger 5 av 10

2.1. Landstingets organisation avseende IT En organisations effektivitet är beroende av de roller, ansvar och processer som finns definierade. För att förändra människors beteende vid en förändring krävs kommunikation och förankring till berörda personer inom och utom organisationen. Vid genomförande av organisatorisk förändring är ovan faktorer några av nyckelfaktorerna för att uppnå syftet med förändringen. Iakttagelse Beslutet att omorganisera IT-verksamheten inom LiÖ fattades under pågående granskning. VPC och FCIT kommer i steg ett att slås ihop till en organisatorisk enhet. Bedömning Vår bedömning är att förutsättningarna för att arbeta mer strukturerat och med större transparens ökar i och med den nya sammanslagna organisationen. En ny organisation innebär även utmaningar för verksamheterna, då två idag skilda verksamheter med olika typer av kultur ska slås samman till en gemensam enhet med en gemensam chef. Utmaningarna kring en sådan sammanslagning har också av landstinget identifierats, vid genomförda riskanalyser, inför den stundande sammanslagningen. För att fullt ut lyckas med en sammanslagning bör tydligare roller och ansvar utarbetas inom den nya stödverksamheten avseende IT-riskhantering. Beslutsforum behöver skapas där ITrisker behandlas med ett uttryckt mandat och där förhållanden mellan olika forum är tydliga. 6 av 10

2.2 Har landstinget ett ändamålsenligt arbetssätt rörande riskhantering inom IT-området? För uppnå en ändamålsenlig hantering av IT-risker krävs dels en övergripande styrning i form av ramverk inom informationssäkerhetsområdet (såsom ISO27000) och dels en kontinuerlig uppföljning av stödverksamheternas efterlevnad avseende de ramverk som på övergripande ledningsstabsnivå finns fastställda. Iakttagelse Övergripande styrning och dokumentation är etablerade avseende säkerhetsarbetet inom IT. Ett ledningssystem för informationssäkerhet är dokumenterat och följer ISO27000 standard. Arbetet på ledningsstaben drivs strategiskt och arbetet uppfattas enligt de intervjuade personerna ske strukturerat. En formaliserad uppföljning uppfattas av de intervjuade saknas gällande efterlevnaden av de beslutade styrande dokumenten. Vidare framkommer det vid intervjuerna att förståelsen för kraven och medvetenheten avseende de styrande dokument som finns fastställda varierande inom och mellan stödverksamheterna (FCIT, Medicinsk Teknik samt VPC). Bedömning Landstinget har på en ledningsstabsnivå ett föredömligt angreppssätt för hantering av ITrelaterade risker. Dock saknas en fullständig, strukturerad uppföljning kring IT-risker. Stödverksamheterna identifierar IT-relaterade risker. Dock är det oklart huruvida de följer de av ledningsstaben fastställda principerna på området. Förutsättningarna för att arbeta ytterligare strukturerat och mer ändamålsenligt bedömer vi som stärkta i och med den stundande omorganisationen inom IT. Ledningssystemet är omfattande och en möjlig förbättringsåtgärd är att utarbeta en dokumentation som är mer fokuserad mot respektive stödverksamhet inom LiÖ tillika som ett stöd för IT-samordnarna i deras dagliga arbete mot vårdverksamheten. Detta innebär att de övergripande kraven kommer att för stödverksamheten vara mer lättillgängliga samt att förståelsen för stödverksamheten bör öka i ledningsstaben. Vidare bör uppföljningen avseende efterlevnaden underlättas av ett mer, för stödverksamheten, anpassat ramverk. 7 av 10

2.3 Är roller och ansvar i processen för riskhantering inom IT-området tydligt definierade? För att uppnå en god riskhantering inom IT-området bör roller och ansvar vara tydligt definierade mellan och i stödverksamheterna. Ansvar bör tydligt kunna urskiljas och kommuniceras till berörda personer. Beroenden mellan funktioner med ett ansvar i riskhanteringsprocess bör vara kommunicerat och förankrat i organisationen för att uppnå en ändamålsenlig IT-risk hanteringsprocess. Iakttagelse Av intervjuerna framkommer att det råder oklarheter kring ansvaret avseende hantering av IT-risker mellan ledningsstaben, VPC, FCIT och Medicinsk Teknik. De olika stödverksamheterna har arbetat med fokus på sin stödverksamhet. Kopplingar emellan de olika enheterna har till stor del saknats. FCIT har exempelvis drivit en tydlig linje gällande den rent tekniska hanteringen av IT-risker, vilken idag uppfattas fungera fullt tillfredställande, samtidigt som de har haft en upplevd begränsad förståelse hur det går till i övriga delar av organisationen. Vidare är även förståelsen mellan stödverksamheten, till/från Ledningsstab, VPC, Medicinsk Teknik och FCIT, avseende hanteringen av IT-risker otydlig, enligt genomförda intervjuer. Vårdverksamheten (genom IT-samordnarna) har svårt att förstå IT-riskhanteringen inom stödverksamheterna, d v s vilka intressenter (VPC, FCIT etc) är involverade i hanteringen samtidigt som stödverksamheterna (Ledningsstab, FCIT, VPC) har svårt att förstå verksamheten. Forum (t ex IT-råd) har skapats för att hantera kopplingarna mellan verksamheterna, dock upplevs dessa forum som ej fullt ut implementerade. IT-rådet har endast träffats vid ett fåtal tillfällen. Syftet med IT-rådet är till viss del definierat men upplevs av stödverksamheterna som otydligt. Roller och ansvar upplevs som oklart av stödverksamheterna och de har svårt att se kopplingen till övergripande styrning kring IT-risker. Bedömning Personer är tillsatta på övergripande landstingsnivå med ansvar för riskhantering inom IT. Det råder dock oklarheter i gränssnittet mot och mellan de olika stödverksamheterna som är involverade i leveransen av IT till vården. Vår bedömning är att den stundande omorganisationen inom IT kommer att skapa bättre förutsättningar för att tydliggöra roller och ansvar inom IT-riskhantering och därmed stärka processen för identifiering och hanteringen av ITrelaterade risker. Ytterligare ett sätt att stärka hanteringen av IT-risker skulle vara att tydligare definiera ansvaret kring IT- riskhantering på alla nivåer inom alla landstingets verksamheter. 8 av 10

2.4 Inkluderar riskhanteringsprocessen effektiv kommunikation mot samtliga intressenter? För att uppnå en effektiv kommunikation i och mellan stödverksamheter krävs definierade tydliga roller och ansvar kring hantering av IT-risker samt att en process för hur kommunikationen ska hanteras bör finnas etablerad. Iakttagelse Kommunikationen har till stor del skett inom respektive stödverksamhet. Ledningsstaben har det normgivande ansvaret och respektive verksamhet ansvarar för att uppfylla och återrapportera enligt den struktur som fastställt på ledningsnivå. Kommunikation kring risker och beroenden mellan stödverksamheter hanteras till viss del ad hoc. Ledningsstaben har dock noterat att när incidenter inträffar (t ex fel i Cosmics läkemedelsmodul) så har landstinget ett ändamålsenligt arbetssätt och hanterar uppkomna situationer. Bedömning Stödverksamheterna involverade i leveransen av IT till vården arbetar till stor del inåtriktat avseende IT-risker, d v s. begränsad kommunikation sker mot övriga vårdverksamheter och mellan stödverksamheterna. Uppföljning på övergripande nivå sker i begränsad omfattning. Precis som under ovanstående fråga är vår bedömning att förutsättningarna ökar för att ytterligare förbättra kommunikationen avseende riskhantering inom landstinget i och med den stundande omorganisationen. Om ett tydliggörande görs avseende ansvaret kring ITrelaterade risker enligt föregående revisionsfråga kommer förutsättningarna för att kommunicera mer effektivt att öka och relevanta intressenter kommer ha större förutsättningar at ta del av rätt information vid rätt tillfälle. Kommunikationen mellan FCIT och övriga stödverksamheter bör ytterligare stärkas då alla verksamheter är beroende av IT, men IT är också beroende av verksamheten för att skapa en ändamålsenlig hantering av IT- och verksamhetsrisker. 9 av 10

2.5 Adresserar landstingets riskhanteringsprocess de mest väsentliga riskerna inom IT? För att identifiera IT-risker krävs en strukturerad och genomarbetad metod. Metoden bör sträcka sig från övergripande nivå ner till den verksamhet som IT stödjer. En kontinuerlig uppföljning bör ske för att säkerställa att relevanta åtgärder vidtas inom rimlig tid. Iakttagelse Övergripande riskanalyser initieras av ledningsstaben. En checklista (RH-check) finns framtagen för hela landstingets verksamhet (kärn- och stödverksamheterna) som ska användas löpande för att t ex identifiera IT-relaterade risker. Dock poängteras av stödverksamheterna, främst Ledningsstaben, att det föreligger utvecklingspotential kring uppföljning och kommunikation mellan verksamheterna för t ex RH-check. Vi har dock noterat att landstinget under perioden för vår granskning utvecklat uppföljningen kring RH-check. Beroenden mot specifika kompetenser har lyfts fram av stödverksamheterna som både en nyckelframgångsfaktor (dessa personer har med stort engagemang hanterat uppkomna incidenter inom t ex IT) men också en stor risk, då hanteringen har varit högst personberoende. Bedömning Landstinget fångar till stor del upp de IT-risker som finns inom verksamheten, dock saknas en samlad bild av de IT-risker som landstinget står inför. Vid sammanslagning av FCIT och VPC är vår bedömning att riskhanteringsprocessen har större förutsättningar att kunna identifiera och värdera ytterligare IT relaterade risker. Vår uppfattning är att förutsättningarna för vården, som en naturlig del av det dagliga arbetet, att arbeta med riskhantering ökar om ovan faktorer, under respektive revisionsfråga, beaktas vid skapande av den nya organisationen. 10 av 10

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss