Møteinnkalling Kontrollutvalget Fredrikstad

Transkript

1 Møteinnkalling Kontrollutvalget Fredrikstad Møtested: Rådhuset, møterom Østfold Tidspunkt: kl Eventuelle forfall meldes til Anita Dahl Aannerød, telefon , Varamedlemmer møter etter nærmere avtale. Fredrikstad, Rita Holberg Leder 1

2 Kontrollutvalget Fredrikstads møte Sakliste PS 20/1 Godkjenning av innkalling og saksliste 3 PS 20/2 Valg av utvalgsmedlem til å underskrive protokoll. 4 PS 20/3 Informasjon fra kommunedirektør angående ettervern av varslere 5 PS 20/4 Informasjon angående kommunens innkjøpsreglement 9 PS 20/5 Prosjektplan eierskapskontroll FEAS 116 PS 20/6 Prosjektplan forvaltningsrevisjonsprosjekt "Barnevern" 121 PS 20/7 Forvaltningsrevisjonsrapport "Cyberangrep og informasjonssikkerhet" 128 PS 20/8 Statusrapport om utført forvaltningsrevisjon i PS 20/9 Uavhengighetserklæringer fra oppdragsansvarlige revisorer 211 PS 20/10 Henvendelse fra privatperson 218 PS 20/11 Henvendelse angående spørsmål om lovlighet ved et vedtak i planutvalget 220 PS 20/12 Kontrollutvalgets årsmelding PS 20/13 Referater og meldinger 246 PS 20/14 Eventuelt 260 PS 20/15 Evaluering av møtet 261 2

3 ØSTFOLD KONTROLLUTVALGSSEKRETARIAT Saksnr.: 2020/62 Dokumentnr.: 2 Løpenr.: 4920/2020 Klassering: Saksbehandler: Anita Dahl Aannerød Møtebok Behandlet av Møtedato Utvalgssaksnr. Kontrollutvalget Fredrikstad /1 Godkjenning av innkalling og saksliste Sekretariatets innstilling Sekretariatet anbefaler kontrollutvalget å fatte slikt vedtak: (saken legges frem uten forslag til vedtak) Fredrikstad,

4 ØSTFOLD KONTROLLUTVALGSSEKRETARIAT Saksnr.: 2020/62 Dokumentnr.: 1 Løpenr.: 4148/2020 Klassering: Saksbehandler: Anita Dahl Aannerød Møtebok Behandlet av Møtedato Utvalgssaksnr. Kontrollutvalget Fredrikstad /2 Valg av en representant til å signere protokoll. Sekretariatets innstilling Sekretariatet anbefaler kontrollutvalget å fatte slikt vedtak: 1. Til å signere protokollen sammen med leder av utvalget, velges.. Fredrikstad, Vedlegg Ingen Andre saksdokumenter (ikke vedlagt) Ingen Saksopplysninger I henhold til kontrollutvalgets rutine som ble behandlet i møte skal det ved hvert møte settes opp en sak i hvert møte om «Valg av en representant til signering av protokoll» Den som leder møtet skal alltid signere. Vurdering Ingen. 4

5 ØSTFOLD KONTROLLUTVALGSSEKRETARIAT Saksnr.: 2020/63 Dokumentnr.: 2 Løpenr.: 2118/2020 Klassering: Saksbehandler: Anita Dahl Aannerød Møtebok Behandlet av Møtedato Utvalgssaksnr. Kontrollutvalget Fredrikstad /3 Informasjon fra kommunedirektør angående ettervern av varslere Sekretariatets innstilling Sekretariatet anbefaler kontrollutvalget å fatte slikt vedtak: 1. Saken legges frem uten forslag til innstilling. Fredrikstad, Vedlegg Vedlegg 1: Notat fra kommunedirektøren, datert Andre saksdokumenter (ikke vedlagt) PS 19/62, den Sak til drøfting - ettervern av varslere Saksopplysninger Kontrollutvalget hadde i sitt møte den en sak hvor de drøftet kommunens håndtering av ettervern av varslere. Kontrollutvalget ba kommunedirektøren om en muntlig og skriftlig redegjørelse til sitt neste møte den 12. februar Redegjørelsen skal inneholde følgende: Hvilke rutiner har kommunen for ettervern av varslere. Hvordan blir disse rutinene håndtert ved de ulike kommunale virksomheter. Kommunedirektørens opplevelse av om rutinene er gode nok. Er omsorgsplikten, i henhold til ny lovgivning, ivaretatt i kommunens rutiner og praksis. Kontrollutvalgsleder har i ettertid også stilt følgende spørsmål til kommunedirektør, som er ønskelig blir belyst: Hva er kommunens behandlingstid fra et varsel fra en ansatt blir levert, til det blir behandlet? Er dette i tråd med lovverket? Får de som varsler innsyn i sin sak før den blir ferdig behandlet? Leser i avisen at varsler «Helene» ikke har fått innsyn i sin sak. Er dette i tråd med lovverket? Eller er det en systemsvikt? 5

6 Har kommunen gode nok rutiner for å ivareta den ansatte som varsler, i den perioden varselet blir levert til det er ferdig behandlet? Hvor mange av de ansatte som har varslet er i jobb? Hvor mange av de ansatte som har varslet er sykemeldt? Kommunedirektøren har gitt et notat til kontrollutvalgssekretariatet hvor hun skriver at hun vil gi en nærmere redegjørelse for disse spørsmålene i kontrollutvalgets møte. Kommunedirektøren vil også gi en muntlig informasjon angående en rapport PWC har utarbeidet for seksjon kultur, miljø og byutvikling. Vurdering Sekretariatet vurderer at det meste av informasjon vil bli lagt frem muntlig i møtet. Det er derfor vanskelig å gi en innstilling til kontrollutvalget. Sekretariatet vil bistå kontrollutvalget ved å utforme eventuelle nye bestillinger hvis de etter informasjonen ønsker dette. Forøvrig legger sekretariatet saken frem uten forslag til innstilling. 6

7 Østfold kontrollutvalgssekretariat (ØKUS) Postboks Fredrikstad Deres referanse Vår referanse Klassering Dato 2020/ /2020-MARMAN Svar på spørsmål fra kontrollutvalget i forbindelse med oppfølging av varslere Vi viser til følgende henvendelse fra Østfold kontrollutvalgssekretariat, epost : Kontrollutvalgsleder ønsker en sak i kontrollutvalgets møte den 12.februar med spørsmål til kommunedirektør. Herunder har kontrollutvalgsleder følgende spørsmål: Hva er kommunens behandlingstid fra et varsel fra en ansatt blir levert, til det blir behandlet? Er dette i tråd med lovverket? Får de som varsler innsyn i sin sak før den blir ferdig behandlet? Leser i avisen at varsler «Helene» ikke har fått innsyn i sin sak. Er dette i tråd med lovverket? Eller er det en systemsvikt? Har kommunen gode nok rutiner for å ivareta den ansatte som varsler, i den perioden varselet blir levert til det er ferdig behandlet? Hvor mange av de ansatte som har varslet er i jobb? Hvor mange av de ansatte som har varslet er sykemeldt? Kommunedirektøren har vurdert spørsmålene, og mener at de aktuelle problemstillingene mest hensiktsmessig kan belyses gjennom en muntlig orientering i kontrollutvalgsmøtet 12. februar, med mulighet for eventuelle oppfølgingsspørsmål fra kontrollutvalget i etterkant av dette. I forkant av møtet kan det være hensiktsmessig å oversende kopi av saken om ny varslingsordning, som for tiden er til behandling i kommunens politiske organer, til kontrollutvalget. Med hilsen Styring og eierskap Besøksadresse: Nygaardsgt. 16, 1606 Fredrikstad Postadresse: Postboks 1405, 1602 FREDRIKSTAD E-postadresse: postmottak@fredrikstad.kommune.no Webadresse: Telefon: Org.nr: Tlf. saksbeh.: Bankkonto: 7

8 Saksnummer 2020/ /2020 Dette dokumentet er elektronisk godkjent og sendes uten signatur Martine Bjar Manskow kst. virksomhetsleder Kopi til interne mottakere: Nina Tangnæs Grønvold Kommunedirektør 8

9 ØSTFOLD KONTROLLUTVALGSSEKRETARIAT Saksnr.: 2020/63 Dokumentnr.: 6 Løpenr.: 16746/2020 Klassering: Saksbehandler: Anita Dahl Aannerød Møtebok Behandlet av Møtedato Utvalgssaksnr. Kontrollutvalget Fredrikstad /4 Informasjon angående kommunens innkjøpsreglement Sekretariatets innstilling Sekretariatet anbefaler kontrollutvalget å fatte slikt vedtak: 1. Informasjonen tas til orientering. Fredrikstad, Vedlegg 1. Notat fra Fredrikstad kommune, datert til Østfold kontrollutvalgssekretariat «Innkjøpsrutiner i Fredrikstad kommune». 2. Anskaffelsesreglement 3. Anskaffelsesstrategien 4. Fredrikstadmodellen (3) 5. Habilitetsskjema 6. Innmelding av behov for bistand anskaffelser (1) 7. Metodikk for gjennomføring av anskaffelser 3 (1) 8. Terskelverdier anskaffelser (innkjøp) (1) 9. Veileder Anskaffelse Del III over terskelverdi 10. Ansvar fra bestilling til mottak av faktura 11. Attestasjon og anvisning i kommunens systemer 12. Attestasjons og anvisningsmyndighet Andre saksdokumenter (ikke vedlagt) Ingen Saksopplysninger Kontrollutvalgsleder har bedt kommunedirektøren om å få en informasjon om kommunens innkjøpsrutiner og reglement. Dokumentasjon på rutiner er oversendt og ligger som vedlegg til saken. Kommunedirektøren stiller også i møtet og gir en muntlig informasjon, eventuelt besvarer spørsmål. 9

10 Vurdering Sekretariatet påpeker at dette ikke er en sak hvor det har blitt gjennomført revisjoner eller undersøkelser. Dokumentene legges kun frem til orientering. Sekretariatet vurderer derfor at kontrollutvalget kan ta informasjonen til orientering. 10

11 FREDRIKSTAD KOMMUNE ANSKAFFELSE NOTAT Saksnr.: 2020/1788 Dokumentnr.: 1 Løpenr.: 15103/2020 Dato: Gradering: Klassering: Til: Anita Dahl Aannerød Østfold kontrollutvalgssekretariat (ØKUS) Fra: Karin Nordal Innkjøpsrutiner i Fredrikstad kommune Viser til Østfold kontrollutvalgssekretariat henvendelse om å få oversendt rutiner for innkjøp i Fredrikstad kommune. Dokumentasjonen er vedlagt, og dokumentasjonen finner man også i kvalitetssystemet under fellesdokumenter og anskaffelse. Siden vi har gått over til en nesten helelektronisk anskaffelsesprosess via Mercell, så styres også en del rutiner direkte i systemet Mercell, slik som feks at det er lagt inn milepælsplaner for kontraktsoppfølging, med nærmere beskrivelse av hver aktivitet. Se skjermbilde nedenfor Vi kan deretter trykke inn på hver aktivitet for å få beskrivelse av hva som skal utføres. 11

12 Ta kontakt dersom dere har utfordringer med noen dokumenter eller har spørsmål til oversendt dokumentasjon. Med hilsen Dette dokumentet er elektronisk godkjent og sendes uten signatur Karin Nordal innkjøpssjef Vedlegg: 1 Anskaffelsesreglement 2 Anskaffelsesstrategien 3 Fredrikstadmodellen (3) 4 Habilitetsskjema 5 Innmelding av behov for bistand anskaffelser (1) 6 METODIKK FOR GJENNOMFØRING AV ANSKAFFELSER 3 (1) 7 Terskelverdier anskaffelser (innkjøp) (1) 8 Veileder Anskaffelse Del III over terskelverdi 9 Ansvar fra bestilling til mottak av faktura 10 Attestasjon og anvisning i kommunens systemer 11 Attestasjons- og anvisningsmyndighet Kopi til interne mottakere: Martine Bjar Manskow Styring og eierskap 12

13 Dokumenttype: Revideres av: Versjon: Prosedyre Nordal Karin 1.0 Dokumentansvarlig: Godkjent dato: Nordal Karin Anskaffelsesreglement Anskaffelsesreglement for Fredrikstad kommune Tittel: Anskaffelsesreglement Utskriftsdato: Side 1 av 10 13

14 Vedtatt i bystyret 15.juni 2017 Innhold 1. Innledning Hensikt Gjelder for Ikrafttredelse Fullmakter og ansvar Fullmakter og ansvar Bestillingsfullmakt Ansvar Organisering av anskaffelser i Fredrikstad kommune Viktige prinsipper for arbeidet med alle anskaffelser i Fredrikstad kommune Sentrale definisjoner/begreper Oversikt over anskaffelsesregelverkets terskelverdier Kjøp av varer og tjenester Bygg og anlegg Forsyningsforskriften Konsesjonskontraktforskriften Anskaffelser av helse og sosialtjenester Anskaffelsesprosessen Miljø Sosial dumping/etisk handel Fredrikstadmodellen Reserverte kontrakter Lov og forskrift Lovgrunnlag...9 Tittel: Anskaffelsesreglement Utskriftsdato: Side 2 av 10 14

15 1. Innledning 1.1. Hensikt Kommunens anskaffelsesreglement (videre kalt reglement) skal bidra til god økonomistyring, internkontroll og kontraktsoppfølging, samt at anskaffelser blir foretatt i henhold til gjeldende lover og forskrifter. For å sikre en ensartet praksis for anskaffelser er reglementet i innkjøp et viktig verktøy for alle organisasjonsledd og virksomheter i Fredrikstad kommune. Kommunenes anskaffelsesenhet er ansvarlige for oppdatering av reglementet og utvikling av rutiner og maler innen offentlige anskaffelser. Anskaffelsesenheten inngår rammeavtaler og avtaler innen vare- og tjenestekjøp på vegne av Fredrikstad kommune. I tillegg vil anskaffelsesenheten bidra med råd og veiledning i forbindelse med andre typer anskaffelser for kommunens organisasjonsledd og virksomheter. Viktige prinsipper for innkjøp er brukermedvirkning, etikk og lojalitet ovenfor inngåtte rammeavtaler/avtaler. Fredrikstad kommune skal være en attraktiv kunde/samarbeidspartner for leverandørene, derfor må reglementet og bestemmelser overholdes. Kommunen skal opptre som en enhet utad. Reglementet er i første rekke produsert for å være til hjelp for de som utfører anskaffelser/bestillinger i kommunen Gjelder for Reglementet gjelder for alle anskaffelser av varer, tjenester og bygg og anleggsarbeider for eller på vegne av Fredrikstad kommune. Reglement er supplement til anskaffelsesloven (heretter kalt LOA) og anskaffelsesforskriften (heretter kalt FOA) Ikrafttredelse Reglementet trer i kraft fra og med den datoen det er vedtatt av Bystyret. Reglementet skal revideres minimum hvert fjerde år. Prinsipielle endringer skal behandles i Bystyret. 2. Fullmakter og ansvar 2.1. Fullmakter og ansvar Fullmakt til å gjennomføre anskaffelser og inngå (signere) enkelt avtaler og rammeavtaler gis gjennom delegeringsreglementet Bestillingsfullmakt Enhver bestilling forplikter kommunen økonomisk, og fullmakter gitt i delegeringsreglementet skal følges Ansvar Tittel: Anskaffelsesreglement Utskriftsdato: Side 3 av 10 15

16 Dette reglement angir prinsipper og retningslinjer på et overordnet nivå når det gjelder anskaffelser i kommunen. Målet er å opprettholde en god organisering av kommunens anskaffelser, og vise en helhetlig og korrekt opptreden i leverandørmarkedet. Anskaffelsesenheten har ansvaret for å utarbeide rutiner for hvordan anskaffelsesarbeidet skal gjennomføres i kommunen. Enheten skal inngå rammeavtaler, avtaler, samordne anskaffelser, utvikle anskaffelses- og logistikkfunksjonen, og bistå organisasjonsledd og virksomheter i anskaffelsessaker. Det overordnede ansvar for gjennomføring av retningslinjene, hviler på de respektive kommunalsjefer. Kommunalsjefene har ansvaret for at virksomhetene innen sitt ansvarsområde ivaretar reglementet på best mulig måte, og at alle medarbeiderne som deltar i anskaffelser gjøres kjent med og etterlever gjeldende bestemmelser. Anskaffelser under kr eks. mva., hvor det ikke er opprettet avtaler, skal gjennomføres i henhold til FOA del l og dette reglement, prosesstegning forenklet forespørsel. Rammeavtaler inngått av anskaffelsesenheten er bindende for alle virksomheter ved anskaffelse av varer og tjenester, og skal avropes etter rammeavtalens bestemmelser. Alle seksjoner og virksomheter forplikter seg til å holde seg oppdatert med de til enhver tid gjeldende avtaler. Tilsvarende plikter anskaffelsesenheten å informere om endringer i rammeavtalene. Avtalene og informasjon om avtalene er tilgjengelig i avtalekatalogen. Avtalekatalogen er tilgjengelig på kommunen sin intranettside, FREKIT Organisering av anskaffelser i Fredrikstad kommune Anskaffelsesenheten skal gjennomføre alle anskaffelser i henhold til FOA del II og del III innen varer og tjenester. Bygg og anleggskontrakter gjennomføres etter gjeldende delegeringsreglement og reglement for gjennomføring av egne bygge- og anleggsprosjekter. Seksjon/etat/virksomhet må fylle ut anbudsbestilling, dersom man har behov for bistand til å etablere rammeavtale/avtaler i henhold til FOA del II og del III. Anbudsbestilling er tilgjengelig i kvalitetssystemet. Rådmann har besluttet i RLG sak 16/334 at anskaffelser av varer og tjenester i henhold til FOA Del I (mellom kr ) skal utføres av hver enkelt seksjon/etat/virksomhet. Seksjon/etat/virksomhet skal benytte utarbeidede maler og avtaler som er tilgjengelig i kvalitetssystemet, og anskaffelsesenheten skal kontaktes for kvalitetssikring og rådgivning. Der det finnes standardiserte avtaler, skal de hovedsakelig benyttes. Det er også utarbeidet egne prosesstegninger som beskriver prosessen fra A til Å. Se prosesstegning for forenklet forespørsel. Tittel: Anskaffelsesreglement Utskriftsdato: Side 4 av 10 16

17 2.5. Viktige prinsipper for arbeidet med alle anskaffelser i Fredrikstad kommune Alle anskaffelser skal foretas med følgende uansett anskaffelsens verdi Fortrolig saksbehandling Det skal hindres at konfidensiell informasjon vedrørende anskaffelsesarbeidet kommer uvedkommende til kunnskap. Habilitet Enhver medarbeider som deltar i anskaffelsesprosessen skal informere anskaffelse om reell og mulig inhabilitet, slik som eierinteresser, familieforhold, nært personlig vennskap eller lignende forhold til leverandør eller leverandørens representant. Før evaluering av innkomne tilbud skal man signere habilitetsskjema. Etiske prinsipper Det er utarbeidet etiske prinsipper for Fredrikstad kommune. Viktige prinsipper for anskaffelsesarbeidet er også innarbeidet der. Det forventes at alle ansatte som foretar anskaffelser gjøres kjent med de etiske prinsippene. Offentlighetsloven Offentlighetslovens bestemmelser om innsynsrett gjelder for anskaffelsesprosessen, og saksbehandler må avklare krav om innsyn med hensyn til offentlighetslovens bestemmelser. Anskaffelsesenheten har utarbeidet rutine for arkivering av anskaffelser, med henvisninger til hvilke dokumenter som skal arkiveres og med henvisninger til offentlighetsloven. Rutinen er tilgjengelig i kvalitetssystemet. 3. Sentrale definisjoner/begreper Terskelverdier Terskelverdier er beløpsgrenser som angir hvilken del av anskaffelsesregelverket som kommer til anvendelse for en anskaffelse. Beregning av terskelverdier gjøres normalt for rammeavtaler over 4 år, ellers skal man beregne anskaffelsens alle kostnader i avtaleperioden, det vil si kjøp, service, opsjoner etc. Livsykluskostnader Alle offentlige innkjøpere er pålagt i anskaffelsesregelverket å ta hensyn til livssykluskostnader(lcc) i planleggingen av anskaffelser. Dette innebærer at investeringskostnader og driftskostnader vurderes samlet. Rammeavtale Rammeavtale er en avtale mellom en eller flere oppdragsgivere og en eller flere leverandører som har til formål å fastsette kontraktsvilkårene for de kontrakter som skal inngås i løpet av den perioden rammeavtalen varer. Avrop Ved å inngå rammeavtaler etter kunngjøring og konkurranse i overensstemmelse med anskaffelsesregelverket, kan man tildele kontrakter (foreta avrop på rammeavtalen) i henhold til rammeavtalens betingelser, uten å foreta (ny) kunngjøring. Konkurransen om å vinne rammeavtalen dreier seg i realiteten om retten til å få levere de varer eller tjenester rammeavtalen omfatter, i hele den perioden rammeavtalen varer. Mini konkurranse Gjennomføres kun når man har parallelle rammeavtaler. Ved mini konkurranse skal man ved kunngjøring og tildelte rammeavtaler ha sagt hvordan man skal gjennomføre mini konkurransen. Forenklet anskaffelse Tittel: Anskaffelsesreglement Utskriftsdato: Side 5 av 10 17

18 Anskaffelser som gjennomføres etter FOA del I, se oversikt for terskelverdier under punkt 4. Tverrfaglig anskaffelsesteam (TAT) For rammeavtaler etablerer man tverrfaglig team for ivareta alle interesser i anskaffelsen. Kommunalsjefene videreformidler hvem de aktuelle fagpersonene er, med unntak av IT anskaffelser. For IT anskaffelser koordiner IT avdelingen anskaffelsen, og hvem som er deltakere i TAT. 4. Oversikt over anskaffelsesregelverkets terskelverdier 4.1. Kjøp av varer og tjenester Rutiner/aktivitet Gjeldende regelverk Ansvar Kr NOK Innkjøp skal foretas via e- handel (fritekst, dersom varen ikke ligger på en varekatalog) Unntatt regelverket, men sterke føringer fra departementet at man skal gjennomføre prisforespørsel (3 stk) Den enkelte seksjon/ virksomhet/ avdeling Kr NOK (forenklet forespørsel) Protokollplikt Forespørre minimum 3 leverandører, men antallet bør økes proporsjonalt hvor nærmere man er teksleverdien Arkivere saken i ephorte Kvalitetssikring av anskaffelsesenheten Del I av FOA (ingen kunngjøringsplikt). Anskaffelsesenheten anbefaler at man kunngjør over kr Plikt til skatteattest over kr Den enkelte seksjon/ virksomhet/ avdeling Anskaffelse skal kvalitetssikre Over kr NOK (Del II- nasjonal terskelverdi) Anskaffelsesenheten skal gjennomføre anskaffelsesprosessen, sammen med opprettet tverrfaglig anskaffelsesteam (TAT) Del I og Del II av FOA Nasjonal kunngjøring Anskaffelse med bistand fra TAT Over kr (Del III- TED terskelverdi) Anskaffelsesenheten skal gjennomføre anskaffelsesprosessen, sammen med opprettet tverrfaglig anskaffelsesteam (TAT) Del I og Del III av FOA Europeisk kunngjøring (ESPD skjema må benyttes) Anskaffelse med bistand fra TAT 4.2. Bygg og anlegg Rutiner/aktivitet Gjeldende regelverk Ansvar Tittel: Anskaffelsesreglement Utskriftsdato: Side 6 av 10 18

19 Kr (Del I- forenklet forespørsel) Protokollplikt Forespørre minimum 3 leverandører, men antallet økes proporsjonalt nærmere man er teksleverdien Arkivere saken i ephorte Del I av FOA (ingen kunngjøringsplikt). Anbefaler at man kunngjør over kr Plikt til skatteattest over kr Teknisk drift Kr NOK (Del II- nasjonal terskelverdi) - Krav til lærlinger over kr og prosjekter som varer i mer enn 3 måneder - Miljøkrav Del I og Del II av FOA Nasjonal kunngjøring Teknisk drift Over kr NOK (Del III- TED terskelverdi) - Krav til lærlinger over kr og prosjekter som varer i mer enn 3 måneder Miljøkrav Del 1 og Del III av FOA Europeisk kunngjøring ESPD skjema må benyttes Teknisk drift 4.3. Forsyningsforskriften Ingen nasjonal terskelverdi Anskaffelser under EØS-terskelverdiene følger: LOA og FOA del I Anskaffelser lik eller over EØS-terskelverdiene følger: FOA del II - Vare- og tjenestekontrakter: NOK 4,1 millioner eks. mva - Bygge- og anleggskontrakter: NOK 51 millioner eks. mva Forsyningsforskriften kan benyttes i anskaffelser som er knyttet direkte til vann og avløpsaktiviteter Konsesjonskontraktforskriften Ingen nasjonal terskelverdi Konsesjonskontrakter under EØS-terskelverdi: LOA og FOA del I Konsesjonskontrakter lik eller over EØS-terskelverdi: FOA del II NOK 51 millioner eks. mva 4.5. Anskaffelser av helse og sosialtjenester FOA: Ikke underlagt bestemmelsene i FOA del II Verdi på NOK 6,95 millioner eks. mva eller mer: Egne bestemmelser i FOA del IV 5. Anskaffelsesprosessen Tittel: Anskaffelsesreglement Utskriftsdato: Side 7 av 10 19

20 Man kan dele opp anskaffelsesprosessen i 5 delprosesser. 1- Initiering Ett behov oppstår, og man må sjekke om det finns eksisterende avtale/rammeavtale som kan benyttes. Hvis ja, handler man gjennom innkjøpssystemet. Dersom man svarer nei, må man finne ut hvor mye varen/tjenesten koster å anskaffe for å vite hvilke terskelverdier man skal forholde seg til. Anskaffelser over kr kan sjekkes med anskaffelsesenheten om det foreligger planer etc om fremtidige avtaler. Og man sender inn anbudsbestilling. 2- Planlegging Man oppretter TAT (tverrfaglig anskaffelsesteam) Dersom flere seksjoner er involvert skal man vurdere hvem som er kontraktseier av rammeavtalen/avtalen Man vurderer behov for markedsundersøkelse, dialogkonferanse, leverandørkonferanse Etablering av anskaffelsesprotokoll Planlegging av møter/fremdrift 3- Konkurransegjennomføring Utarbeidelse av konkurransegrunnlag med vedlegg Utlysning Evaluering Innstilling/ tildeling Kontraktsinngåelse Eventuell klagebehandling og innsyn 4- Implementering katalog innleses i innkjøpssystem Informasjon ut til virksomhetene Rammeavtale og informasjon legges tilgjengelig i avtalekatalog 5- Kontraktsoppfølging Statusmøter (årlig), bør gjøres en vurdering om behovet innen hver enkelt rammeavtale som inngås Driftsmøter- ved behov. Kontraktseier vurderer behovet for driftsmøter. Oppfølging statistikk og fakturaer Se forøvrig Difi sine anbefalinger angående kontraktsoppfølging. Man har spesielt ansvar å følge opp det som står i kontrakt innen; Miljø Tittel: Anskaffelsesreglement Utskriftsdato: Side 8 av 10 20

21 Sosial dumping Bruk av lærling 6. Miljø Miljøhensyn er viktig for kommunen ved inngåelse av rammeavtaler/avtaler. Fredrikstad kommune skal stille krav til miljø, blant annet krav til: Redusert energiforbruk Eco-driving ved leveranser Euroklasse-krav til kjøretøy og el-biler Bærekraftige materialer (sertifiseringsordninger) Levetid og livssykluskostnader Tilgang til deler for erstatning, reparasjon og oppgradering At farlige kjemikalier i produkter ikke forekommer (evt. må forklares hvorfor det er nødvendig) Redusert emballasje og forpakninger (minimal emballasje ved levering; nedbrytbar/gjenbrukbar plast og emballasje; henting og destruering) Man skal i tillegg ivareta de vedtak som besluttes i kommunen innen miljø, som for eksempel: Fairtrademerket kaffe og te Kjøp av tømmer og trevirke skal ikke være av tropisk tømmer Fredrikstad kommune er medlem av Svanens innkjøperklubb, som kan bistå med rådgivning og bistand til evaluering i større anskaffelser. Anskaffelsesenheten må kontaktes for dialog med Svanes innkjøperklubb, da vi betaler en medlemsavgift basert på antall anskaffelser de bistår oss i løpet av medlemsåret. Se forøvrig for nyttige tips og verktøy i forbindelse med miljø. 7. Sosial dumping/etisk handel I anskaffelser arbeider du mot sosial dumping m.a. ved å stille og følge opp krav om lønnsog arbeidsvilkår i kontrakter. Fredrikstad kommune skal stille krav til lønns- og arbeidsvilkår i alle rammeavtaler. Se forøvrig for nyttige tips og verktøy i forbindelse med sosialt ansvar. Der man kan benytte ett risikogjennomføringsverktøy for etisk handel. 8. Fredrikstadmodellen Fredrikstad kommune skal benytte Fredrikstad modellen for alle bygg- og anleggskontrakter. Bestemmelsene stiller blant annet krav til lønns- og arbeidsvilkår, krav om faglærte håndverkere og lærlinger i prosjektene. Tittel: Anskaffelsesreglement Utskriftsdato: Side 9 av 10 21

22 Store utfordringer med arbeidslivskriminalitet i bygg- og anleggsnæringen krever nye og effektive tiltak. Et viktig tiltak er at kontraktene til offentlige oppdragsgivere inneholder krav som hindrer at useriøse aktører kommer inn i prosjektene, og sanksjoner ved mislighold. Fredrikstad modellen er basert på seriøsitetsbestemmelsene, men det er stilt noe strengere krav til lærlinger, krav til underleverandører og innleid personell. 9. Reserverte kontrakter Forskrift om offentlige anskaffelser gir offentlige oppdragsgivere mulighet til å gjennomføre anskaffelser som reserverte kontrakter. Det vil si at konkurransene begrenses til arbeidsmarkedstiltaksbedrifter. Den enkelte anskaffelse i Fredrikstad kommune skal vurderes før oppstart av anskaffelsesprosessen, om anskaffelsen er egnet til å være en reservert kontrakt. 10. Lov og forskrift Lovgrunnlag - Anskaffelsesloven (LOV ) med tilhørende forskrifter; - Anskaffelsesforskriften (FOR ) - Forsyningsforskriften (FOR ) - Konsesjonskontraktforskriften (FOR ) - Forskrift om arbeidsvilkår i off. kontrakter (FOR ) - Forskrift om plikt til bruk av lærlinger i off. kontrakter (FOR ) - Forskrift om klagenemnd for offentlige anskaffelser (FOR ) Tittel: Anskaffelsesreglement Utskriftsdato: Side 10 av 10 22

23 Dokumenttype: Revideres av: Versjon: Prosedyre Kristiansen Kine Rustad 1.0 Dokumentansvarlig: Godkjent dato: Nordal Karin Anskaffelsesstrategi for Fredrikstad kommune Periode Vedtatt i bystyret Tittel: Anskaffelsesstrategi Utskriftsdato: Side 1 av 9 23

24 Innholdsfortegnelse 1. Innledning Visjon Hovedmål: Fredrikstad kommune sine anskaffelser skal være økonomisk og kvalitativt gode Fredrikstad kommunes anskaffelser skal bidra til bedre behovsdekning og møte fremtidens behov Fredrikstad kommune skal ha økt fokus på aktiv leverandør- og avtaleoppfølging Fredrikstad kommune sine anskaffelser skal gjennomføres raskere, enklere og elektronisk Fredrikstad kommune skal bidra til markedsutvikling i anskaffelsesprosesser Fredrikstad kommune skal gjennomføre samfunnsansvarlige anskaffelser Fredrikstad kommune skal ha høy anskaffelsesfaglig kompetanse...8 Tittel: Anskaffelsesstrategi Utskriftsdato: Side 2 av 9 24

25 1. Innledning Anskaffelsesstrategien er en av kommunens overordnede strategier og bestemmer veivalg og satsninger innen anskaffelsesområdet. Den gjelder alle virksomheter i Fredrikstad kommune. Kommunale foretak er ikke omfattet av strategien. Hvordan anskaffelser styres, påvirker både kvaliteten og kostnadene på de tjenestene som leveres til innbyggerne. Kommunen har ca 150 rammeavtaler per , og anskaffer for ca kr 1,1-1,2 milliarder, medberegnet investeringer. Med dette følger et ansvar om å opptre som en profesjonell innkjøper og sørge for å få mest mulig igjen for midlene. Samtidig ønsker Fredrikstad kommune å bruke anskaffelsene strategisk for å bidra til innovasjon og virksomhetsutvikling. Anskaffelsesstrategien skal synliggjøre viktigheten av anskaffelsesvirksomheten og øke bevisstheten rundt anskaffelsesarbeidet i hele organisasjonen. Det gjøres mye godt anskaffelsesarbeid i kommunen, men det knytter seg fortsatt utfordringer til deler av dette arbeidet. Ny strategi viderefører noen av målsetningene fra tidligere. Målsetningene i ny anskaffelsesstrategi er tydeligere presisert med hovedmål og delmål med tilhørende tiltak, for bedre måloppnåelse. Anskaffelsesstrategien retter større oppmerksomhet mot: - opplæring/ bevisstgjøring i kommunen - standardisering av sortiment - standardisering av anskaffelsesprosesser - kontraktsoppfølging - analyse av innkjøpsdata - innovative anskaffelsesprosesser Anskaffelsesstrategien skal revideres hvert annet år for å se om delmålene oppnås, dersom det ikke oppstår forhold som gjør at strategien bør revideres tidligere. Ved revidering må eventuelle tiltak vurderes for å nå delmålene. Anskaffelsesstrategien skal gi et felles grunnlag for gjennomføring av anskaffelser og sikre effektiv ressursbruk. Kommunen skal gjennomføre anskaffelsene i tråd med lov og forskrift om offentlige anskaffelser. Strategien gjelder for alt anskaffelsesarbeid som gjennomføres i kommunen, på tvers av seksjoner og for alle faser i en anskaffelsesprosess; fra initiering av anskaffelsen til kontraktens avslutning. Den berører alle deler av organisasjonen, og det er et felles ansvar i linjeledelsen for å bidra til at vi lykkes med å nå målene. Anskaffelser bygger på kommunens felles verdier: MERK M- Modig Vi tør tenke nytt, ser etter gode løsninger og stiller konstruktive spørsmål og utnytter handlingsrommet i regelverket. E- Engasjert Vi ivrer for at Fredrikstad kommune er en attraktiv og krevende kunde. R- Romslig Tittel: Anskaffelsesstrategi Utskriftsdato: Side 3 av 9 25

26 Vi møter og inkluderer egen organisasjon og leverandører med åpenhet, respekt og tillit. K- Kompetent Gjennom høy kompetanse skal vi være forberedt på å møte dagens og morgendagens utfordringer. 2. Visjon Kommunens anskaffelser skal gjøres profesjonelt og effektivt, og kommunen skal være en attraktiv kunde og samarbeidspartner. 3. Hovedmål: Kommunens anskaffelser skal bidra til verdiskapning for kommunen og brukere, være innovative, ivareta samfunnsansvar og skape tillit til Fredrikstad kommune som innkjøper. Målet innebærer at anskaffelsene skal støtte kommunens overordnede mål for langsiktig utvikling av Fredrikstad kommune. Kommunen skal gjennomføre økonomisk og kvalitativt gode anskaffelser med vekt på miljø, samfunnsansvar, innovasjon og nytenking. Anskaffelsene skal være juridisk korrekte og det skal legges til rette for god anskaffelsesfaglig kompetanse. For å oppnå hovedmålet er det identifisert 7 delmål som er beskrevet nedenfor Fredrikstad kommune sine anskaffelser skal være økonomisk og kvalitativt gode En anskaffelse skal være basert på konkurranse, og kommunen skal sikre at hensynet til forutberegnelighet, gjennomsiktighet (åpenhet) og etterprøvbarhet ivaretas gjennom hele anskaffelsesprosessen. Kommunens virksomheter skal opptre i samsvar med god forretningsskikk og sikre høy forretnings etisk standard i den interne og eksterne saksbehandling. Utvelgelse av kvalifiserte tilbydere og tildeling av kontrakter skal skje på grunnlag av objektive og ikkediskriminerende kriterier. Kommunen skal ha god oversikt over egne avtaler og bør planlegge de strategisk viktige anskaffelsene i god tid. Politiske vedtak som medfører kjøp av vare eller tjeneste må gis tilstrekkelig tid til å gjennomføre en forsvarlig økonomisk og kvalitativ anskaffelsesprosess. Virksomhetene i kommunen har et selvstendig ansvar for å sikre at behov for varer og tjenester dekkes gjennom kommunale avtaler. Kommunen skal utnytte stordriftsfordeler ved intern samordning og gjennom samarbeide med andre kommuner/fylkeskommuner der det er formålstjenlig. Tittel: Anskaffelsesstrategi Utskriftsdato: Side 4 av 9 26

27 Vi etterlever dette delmålet når vi: Tilrettelegger for etterlevelse av regelverket i organisasjon Øker antall rammeavtaler og avtaledekning Ansvarlig gjør og bevisstgjør behovshavere i organisasjonen om at anskaffelsesprosesser krever tid og ressurser, for å få til de gode innkjøp Tiltak: Vi skal inngå samarbeid med andre kommuner eller andre samarbeidspartnere for å øke avtaledekning innen de anskaffelser der det er hensiktsmessig Vi skal sikre at kriterier og krav utarbeides med bruk av god og bred kompetanse, og vi skal sikre brukermedvirkning Etablere malverk 3.2. Fredrikstad kommunes anskaffelser skal bidra til bedre behovsdekning og møte fremtidens behov Årlig skal det etableres en anskaffelsesoversikt. Forespørsel sendes kommunalsjefer i 4.kvartal. Behovsavklaring skal gjennomføres i linjen. Behov må innmeldes for å få anskaffelsen prioritert i anskaffelsesoversikten. Eksisterende rammeavtaler behøver ikke å meldes inn. Anskaffelsesenheten kontakter brukere av avtalen for å forespørre om endringer i marked, endringer i behov og etablerer en tverrfaglig anskaffelsesteam (TAT) der det er behov. TAT skal etableres i alle anskaffelser som berører mer enn en seksjon. Behov for etablering av nye avtaler i løpet av året skal fortløpende innmeldes til anskaffelsesenheten. Anskaffelsesenheten skal etablere/arrangere opplæring innen lov og forskrift om offentlige anskaffelser for å forankre og bevisstgjøre ledelse og ansatte i Fredrikstad kommune om regelverket. Vi etterlever dette delmålet når vi: Kartlegger kommunens samlede behov for avtaler Bevisstgjør ledere og bestillere i verdien av strategisk innkjøpskompetanse Knytter innovasjon, endring i marked eller endring av behov til den enkelte anskaffelse Tiltak: Vi skal tilrettelegge for prosedyrer og maler i kvalitetssystemet Vi skal fremme innovative løsninger og innovative anskaffelsesprosesser som stimulerer til nærings- og leverandørutvikling Vi skal øke involvering av interessenter, både fagpersoner (TAT) og brukere, i forberedelsen av store eller strategiske anskaffelser Tittel: Anskaffelsesstrategi Utskriftsdato: Side 5 av 9 27

28 3.3. Fredrikstad kommune skal ha økt fokus på aktiv leverandør- og avtaleoppfølging Økt fokus på aktiv leverandør- og avtaleoppfølging i avtaleperioden. Bevisstgjøring i organisasjonen for å sikre avtaledekning, sortimentstyring og avtalelojalitet. Fredrikstad kommune har et system for kontraktsoppfølging som oppslagssystem, med oversikt over avtaler med avtaleinformasjon. Priser og avtalebetingelser skal følges opp. Virksomhetene må vite hva de kan kreve av avtalen, slik at avvik kan meldes til anskaffelsesenheten. Videre for å tydeliggjøre leders ansvar for å bruke rammeavtalene og bruke disse korrekt ved innkjøp av varer og tjenester gjennom innkjøpssystemet. Nærmeste leder skal sikre at bestiller- og attestasjonsrollen foretas av medarbeidere med nødvendig kompetanse, og etablere interne rutiner som sikrer at rammeavtaler følges. Vi etterlever dette delmålet når vi: Øker fokus på avtalelojalitet Standardiserer sortiment Sikrer riktige avtalebetingelser Ansvarlig gjør at kjøp/bestilling av varer og tjenester ligger i linjeledelsen Tiltak: Vi skal tilrettelegge for leverandørkonferanser/dialogmøter og markedsundersøkelser der det er hensiktsmessig Vi skal gjennomføre årlige statusmøter med de største leverandørene og de leverandørene som vi anser som svært viktig å ha fokus på, for å følge opp avtalevilkår, - spesielt innen pris, leveranse, miljø, etiske krav etc. Etablere KPI målinger (Sikre avtalelojalitet) Benytte innkjøpsstatistikker Etablere rutiner for implementering av avtaler 3.4. Fredrikstad kommune sine anskaffelser skal gjennomføres raskere, enklere og elektronisk Innen skal alle anskaffelser som gjennomføres etter forskrift om offentlige anskaffelser over nasjonal terskelverdi (kroner eksklusiv mva) gjennomføres elektronisk. Anskaffelsesprosessen omfatter alt fra innmeldt behov fra bruker, til ferdig signert og arkivert avtale i arkivsystemet, samt bestilling av vare og tjeneste. Full elektronisk anskaffelsesprosess vil forenkle arkivering og sikre at alle dokumenter blir arkivert i henhold til gjeldende regelverk og interne prosedyrer. Tittel: Anskaffelsesstrategi Utskriftsdato: Side 6 av 9 28

29 Vi etterlever dette delmålet når vi: Øker andelen av innleverte digitale tilbud fra leverandørsiden Forenkler og effektiviserer anskaffelsesprosessen Forenkler og sikrer korrekt arkivering Tiltak: Vi skal anskaffe konkurransegjennomføringsverktøy og implementere verktøyet i organisasjonen Vi skal benytte elektronisk verktøy når vi gjennomfører konkurranser og bestillinger Innføre KGV for alle anskaffelser over kr 100 Etablere målinger ehandel Se på behov for mer effektivt verktøy for innkjøpsanalyse 3.5. Fredrikstad kommune skal bidra til markedsutvikling i anskaffelsesprosesser Fredrikstad kommune skal aktivt bidra til dialog med markedet basert på likebehandling. Det bør legges til rette for at små og mellomstore bedrifter kan delta i konkurranser. Leverandør- og dialogkonferanser skal vurderes i alle anskaffelser. Der det finnes standardkontrakter skal disse benyttes, for å sikre gjennomtenkte og balanserte kontraktsvilkår. Vi etterlever dette delmålet når vi: Øker bruken av standardiserte kontrakter som er balanserte både for kunde og leverandør Reduserer direkte anskaffelser, og gjennomfører flere frivillige kunngjøringer på doffin.no Tiltak: Vi skal benytte nasjonale standardkontrakter der det er mulig, for å sikre gjennomtenkte og balanserte kontraktsvilkår. Vi skal vurdere frivillig kunngjøring i alle anskaffelser over kr , for å ivareta små og mellomstore bedrifter Vi skal tilby gjennomgang av tilbudet til tapende part, i de anskaffelsene man anser som hensiktsmessig, og for å øke/opprettholde konkurransen til neste anskaffelse Vurdere leverandør- og dialogkonferanser eller høringer (veiledende kunngjøring på Doffin) Bevisst forhold ved utlysning av større anskaffelser (dele opp anskaffelsen i grupper) Tittel: Anskaffelsesstrategi Utskriftsdato: Side 7 av 9 29

30 3.6. Fredrikstad kommune skal gjennomføre samfunnsansvarlige anskaffelser Fredrikstad kommune skal ta aktivt samfunnsansvar gjennom å etterspørre og forbruke varer og tjenester som er produsert etter høye etiske, sosiale og miljømessige standarder. Forskrifts- og kommunale bestemmelser skal ivaretas gjennom kommunens anskaffelser. Kravene skal implementeres gjennom tydelige krav i avtalene og gjennom dialog og samarbeid med kommunens leverandører. Vi etterlever dette delmålet når vi: Tydeliggjør delmålet i avtalene som signeres Har fokus på miljø for å ivareta kommunens miljømål Sikrer at kommunen kjøper varer og tjenester fra seriøse aktører i markedet. Tiltak: Vi skal etablere rutiner for å redusere skadelig miljøpåvirkning knyttet til anskaffelser og fremme klimavennlige løsninger Vi skal etablere rutiner for å ivareta respekt for grunnleggende menneskerettigheter Vi skal ta aktivt samfunnsansvar og bruke kontraktkravene aktivt med fokus på å hindre arbeidslivskriminalitet og sosial dumping Vi skal benytte Fredrikstadmodellen i alle anskaffelser innen bygg- og anleggs entrepriser Vi skal bruke anbefalte maler og verktøy som er utarbeidet av Difi innen samfunnsansvar Vi skal følge kommunens miljøstrategi i alle anskaffelser når den foreligger 3.7. Fredrikstad kommune skal ha høy anskaffelsesfaglig kompetanse Anskaffelsesområdet er komplekst og har mange faglige nedslagsfelt, blant annet juridiske, økonomiske og samfunnsfaglige. Fagfeltet er i sterk utvikling, regelverket er i stadig endring og det utvikles stadig nye metoder innenfor innovasjon og leverandørutvikling. For å realisere de prioriterte områdene og bidra til gode avtaler, der risikoen for feil minimeres, må kompetanse bygges og vedlikeholdes både i den sentrale anskaffelsesenheten og ellers i kommunen. Manglende eller utilstrekkelig kompetanse innebærer en økt risiko for feil og mangler ved gjennomføring av anskaffelsesprosessen, samt feil og mangler ved varene og tjenestene som blir anskaffet. Anskaffelseskompetansen må derfor kontinuerlig styrkes både blant ledere og ansatte som har roller i anskaffelsesprosessen. Tittel: Anskaffelsesstrategi Utskriftsdato: Side 8 av 9 30

31 Anskaffelsesenheten skal gi tilbud om undervisning til ulike nivå i kommunen, bistå med generell rådgivning og delta på møter i virksomhetene. Vi etterlever dette delmålet når vi: Opprettholder og øker fagkompetansen innen anskaffelser, er ledende på området og er attraktiv samarbeidspartner Minimerer risiko for feil i både gjennomføring av anskaffelsesprosesser og anskaffelse av feil vare/tjeneste. Anskaffelsesenheten er kommunens faglig ressurs innen anskaffelsesregelverket, og er en kompetent rådgiver internt i kommunen Anskaffelsesenheten kvalitetssikrer prosessen for alle anskaffelser over kr som gjennomføres av den enkelte virksomhet, med unntak av entrepriser. Tiltak: Vi skal tilrettelegge for interne kurs innen offentlige anskaffelser Vi skal tilrettelegge for kurs innen bestiller kompetanse i innkjøpssystemet Vi skal årlig revidere maler og prosedyrer med tanke på forbedring Tittel: Anskaffelsesstrategi Utskriftsdato: Side 9 av 9 31

32 Dokumenttype: Revideres av: Versjon: Reglement Nordal Karin 2.0 Dokumentansvarlig: Godkjent dato: Nordal Karin Fredrikstadmodellen Fredrikstadmodellen er en videreutvikling og tydeliggjøring av Skiensmodellen og Seriøsitetsprinsippene. Faste ansatte 1 Arbeidet skal utføres av tilbyderen og dennes ansatte i tjenesteforhold, eventuelt ved underentreprenør og deres ansatte. Tilbyder skal til enhver tid kunne framlegge dokumentasjon på ansettelsesforholdet. Tilbyder skal dokumentere at majoriteten av de ansatte har fagbrev innenfor sitt fagområde. (Dvs. over 50 %) Begrense innleie 2 Avtale om underentreprise med enmannsforetak eller anvendelse av innleid arbeidskraft krever skriftlig begrunnelse fra entreprenøren. Innleie forutsettes lovlig etter arbeidsmiljølovens bestemmelser. Videre stilles det krav om at det må dokumenteres at de ansatte i bemanningsselskapet er fast ansatt i selskapet, og mottar lønn mellom oppdrag. (At det er et reelt fast ansettelsesforhold med arbeids- og lønnsplikt samt arbeidsplikt i et definert tidsrom ikke 0% kontrakt fra NHO service) 3 Tilbyder plikter å sørge for at likelydende bestemmelser om bruk av egne ansatte, enmannsforetak, innleid arbeidskraft og krav om dokumentasjon av fagbrev inntas i kontrakter med underentreprenører og bemanningsselskap. Arbeidskraften skal være innleid i samsvar med arbeidsmiljølovens og (Ved ordinær produksjon tariffavtale og avtale med de tillitsvalgte) Språk og HMS 4 Norsk er hovedspråk på kommunens byggeplasser, både skriftlig og muntlig. Det kreves at minst en person på hvert arbeidslag forstår og behersker å gjøre seg godt forstått på norsk. Personer med ledende funksjoner på byggeplassen skal beherske norsk. Alle arbeidstagere på byggeplassen skal ha kjennskap om og forstå sikkerhetsopplæring, sikkerhetsinstrukser, bruksanvisninger, varselskilt m.m. Dersom det er arbeidstagere på byggeplassen som ikke forstår norsk, er det tilbyders ansvar at disse får sikkerhetsinstruksjoner på et språk de forstår. Lærlinger Tittel: Fredrikstadmodellen Utskriftsdato: Side 1 av 3 32

33 5 Tilbyder og underentreprenører som skal engasjeres i prosjektet skal være godkjente og aktive lærlingebedrifter med lærlinger. Minimum 10 % av arbeidet skal utføres av lærlinger. Videre skal det stilles krav om at leverandører i alle ledd med fag det er relevant i å kreve bruk av lærlinger i også er tilknyttet lærlingeordningen og har lærlinger. Opplysningsplikt 6 Etter ligningsloven 6-10, med tilhørende forskrifter, plikter næringsdrivende som har gitt noen oppdrag på byggeplass å gi melding til Sentralskattekontoret for utenlandssaker om enhver utenlandsk oppdragstaker eller utenlandsk arbeidstager som utfører oppdrag på byggeplassen. 7 Tilbyder er ansvarlig for å rapportere fortløpende om bruk av utenlandsk arbeidskraft i alle ledd i kontraktskjeden, herunder framskaffe og framlegge for byggherren kopi av innsendt melding for den enkelte utenlandske oppdragstaker eller utenlandske arbeidstaker. Ordnede lønns- og arbeidsvilkår 8 Lønn og annen godtgjørelse for samtlige arbeidstagere skal utbetales til konto i en norsk bank. Byggherren skal i tillegg til de vanlige dokumentasjonskravene kunne følge pengestrømmen ut til de ansatte. 9 Tilbyder skal dokumentere at han har gyldig yrkesskadeforsikring for alle ansatte. Dette gir oppdragsgiver rett til å kontrollere opplysningene. 10 Byggherren kan kreve dagmulkt av tilbyderen, dersom han selv eller noen av hans underentreprenører anvender ulovlig eller ikke kontraktsmessig arbeidskraft og forholdet ikke er blitt rettet innen en gitt frist ved skriftlig varsel fra byggherren. Mulkten skal utgjøre en promille av kontraktssummen, men ikke mindre enn kr 1 000,- pr hverdag. 11 Tilbyder skal sørge for at ansatte i egen organisasjon og ansatte hos eventuelle underentreprenører ikke har dårligere lønns- og arbeidsforhold enn det som følger av landsomfattende tariffavtale eller det som ellers er normalt for vedkommendes sted og yrke, jfr 5 i forskrift om lønns- og arbeidsvilkår i offentlige kontrakter. Tilbyder skal legge fram dokumentasjon om lønns- og arbeidsvilkår til de ansatte. Alle avtaler tilbyder inngår og som innebærer utføring av arbeid under denne kontrakten, skal inneholde tilsvarende dokumentasjon. Dersom tilbyder ikke etterlever disse pliktene og forholdet ikke er rettet innen en fastsatt frist, har oppdragsgiver rett til å kreve dagmulkt. Mulkten løper fra fristens utløp til forholdets opphør og størrelsen fastsettes på samme måte som i punkt 10. Tittel: Fredrikstadmodellen Utskriftsdato: Side 2 av 3 33

34 12 Det skal bekreftes på vedlagte egenerklæring at tilbyder etterlever ILO konvensjoner som omhandler regulering av arbeidstid og ukentlig hvile (ILO 1 og 14), lønns- og arbeidsvilkår (ILO 94, 95 og 131 og norsk forskrift om lønns- og arbeidsvilkår), arbeidstagers rett til å organisere seg (ILO 88 og 97), ingen former for tvangsarbeid eller barnearbeid (ILO 29, 105, 138 og 182). 13 Ved konstatert brudd på ovennevnte bestemmelser, og entreprenøren ikke har rettet feilen innen fristens utløp, kan byggherren heve kontrakten. 14 Tilbyder må gi skattemyndighetene fullmakt til å levere opplysninger til byggherren samt gi tilgang til opplysninger om firmahistorikk og opplysninger om sentrale personer i ledelse og eie. Begrensninger i antall kontraktsledd 15 Byggherren tillater ikke mer enn to ledd i kontraktskjeden. Byggherren kan unntaksvis godkjenne tre ledd når det foreligger en god begrunnelse. Det skal aldri være mer enn tre ledd i kontraktskjeden. Hovedentreprenøren regnes som 1. ledd i kjeden og bemanningsforetak etter arbeidsmiljøloven 14-2 regnes som et ledd i kontraktskjeden. (Utførelseskjede = Hovedentreprenør setter ut oppdrag til underentreprenør som setter oppdraget videre til underentreprenør = 3 ledd) 16 Tilbyder plikter å sørge for at likelydende bestemmelser (pkt 1 15) inntas i kontraktsbestemmelser med underentreprenører. Forbud mot kontant betaling 17 For å motvirke svart økonomi og for å sikre sporbarhet i transaksjoner skal all betaling leverandører foretar for kjøp til Fredrikstad kommune foretas med elektronisk betalingsmiddel. Leverandøren skal derfor f. eks ikke kunne kjøpe varer på Maxbo med kontanter. Oppfølging Rådmannen skal til enhver tid dokumentere og føre tilsyn med at punktene (pkt 1 17) er ivaretatt for alle kommunens byggeaktiviteter. Arbeidslivets organisasjoner og hovedverneombudet har rett til innsyn og kontroll av dokumentasjonen. Fredrikstad kommune skal følge den til enhver tid beste praksis på området, jf veileder om beste praksis, utarbeidet av Difi på oppdrag fra Arbeids- og sosialdepartementet ( Tittel: Fredrikstadmodellen Utskriftsdato: Side 3 av 3 34

35 Dokumenttype: Revideres av: Versjon: Veileder Nordal Karin 1.0 Dokumentansvarlig: Godkjent dato: Nordal Karin Habilitetsskjema SKJEMA FOR VURDERING AV HABILITET HOS DELTAGERE I EVALUERINGSARBEID ANSKAFFELSE (saksnr og saksnavn) TILBUDSFRIST ANBUDSFORM (Åpen, begrenset, forhandling) NAVN (blokkbokstaver) ANSATT (firmanavn) STED, DATO UNDERSKRIFT Tittel: Habilitetsskjema Utskriftsdato: Side 1 av 3 35

36 1 INNLEDNING Dette skjemaet skal benyttes før oppstart av evaluering og før man får innsyn i tilbudene. Skjema skal fylles ut, signeres og returneres evalueringsansvarlig. 2 FORMÅL Formål med denne kartleggingen er å eventuelt avdekke forhold som tyder på at medlemmer av tverrfaglig anskaffelsesteam (TAT) vil være inhabil i evalueringen av aktuelle tilbud jf Forskrift om offentlige anskaffelser (FOA) 7-5. Aktuelle tilbydere (part) i gjeldende sak er NR TILBYDER Undertegnende krysser av for JA/NEI under hvert spørsmål, og setter inn eventuelle kommentarer ved behov. NR INHABILITETSGRUNNER JA NEI KOMMENTAR 1 Er du part 1 i saken? 2 Er noen i din familie/svigerfamilie 2 part i saken? 3 Er du med i ledelse eller styre i selskap som er part i saken? 4 Har du, eller har du hatt et arbeidsforhold med part i saken? 5 Har du vennskap og eller uvennskap med parter i saken, eller er det andre særegne forhold som 1 Part- er de som deltar i konkurransen (tilbyder). 2 Man blir ikke inhabil ved ethvert familieforhold, men vi ber likevel om opplysninger om eventuelle familieforhold for å gjøre vurdering av dette også under den skjønnsmessige habilitetsbestemmelsen. Tittel: Habilitetsskjema Utskriftsdato: Side 2 av 3 36

37 kan være egnet til å svekke tillitten til din upartiskhet 3? 6 Jeg forplikter meg til å sikre at kollegaer som jeg involverer i evalueringsarbeidet også må fylle ut og signere habilitetserklæring. Eventuelt kommentarer: 3 VURDERING AV INHABILITET Deltakere som vurderes som inhabil, kan bli ekskludert fra videre befatning med saken. Endelig beslutning om eventuelle habilitetsspørsmål tas av nærmeste leder. Konklusjon skrives inn i kommentarfelt. 3 Dette kan eksempelvis være at avgjørelsen i saken kan være til særlig fordel eller ulempe for deg eller noen som du har nær personlig tilknytning til. Tittel: Habilitetsskjema Utskriftsdato: Side 3 av 3 37

38 Dokumenttype: Revideres av: Versjon: Prosedyre Nordal Karin 1.0 Dokumentansvarlig: Godkjent dato: Nordal Karin Innmelding av behov for bistand anskaffelser Formål og omfang En generell beskrivelse hvordan man innmelder behov for bistand av planlagte og ad hoc anskaffelser i Fredrikstad kommune. Behov som er planlagte innmeldes i 4.kvartal etter utsendelse av anskaffelsesoversikt for kommunen fra anskaffelsessjef. Målgruppe Ansatte i kommunen som har behov for bistand i forbindelse med en anskaffelse over kroner eks mva. Tittel: Innmelding av behov for bistand anskaffelser Utskriftsdato: Side 1 av 2 38

39 Beskrivelse planlagte anskaffelser Utføres av Trinn Beskrivelse Viktige merknader Anskaffelsessjef 1 Sender ut årlig oversikt i 4.kvartal for å utarbeide neste års anskaffelsesplan Seksjonen 2 Melder inn seksjonens samlede behov for anskaffelsesbistand påfølgende året Oversikten og forespørselen sendes til kommunaldirektørene Meldes ikke inn fra enkelt virksomheter, men samlet for seksjonen Anskaffelsesjef 3 Ferdigstiller innkomne behov, og lager en samlet oversikt som oversendes KLG Beskrivelse ad hoc anskaffelser Utføres av Trinn Beskrivelse Viktige merknader Behovshaver 1 Oversender beskrivelse av behovet. Beskrivelsen må inneholde - Hva er behovet - Når har man behov for bistand - Beløp - Hvilke personer må delta i anskaffelsen - Er anskaffelsen godkjent av budsjettmyndighet Anskaffelsessjef 2 Vurderer hastegrad av anskaffelsen, om det er en anskaffelse som kan vente eller må påstartes med engang. Må anskaffelsen starte snarest og det ikke er tilgjengelige ledige ressurser, så tas det kontakt med kommunaldirektør og/eller etatssjef i den berørte seksjonen. Behov oversendes anskaffelsessjef, og ikke enkelt ansatte i virksomhet anskaffelse Tittel: Innmelding av behov for bistand anskaffelser Utskriftsdato: Side 2 av 2 39

40 METODIKK FOR GJENNOMFØRING AV VARE/TJENESTE ANSKAFFELSER I FREDRIKSTAD KOMMUNE Del II og del III anskaffelser 40

41 2 ANSKAFFELSESPROSESSEN (3 delprosesser) 1- Avklare behov og planlegge 2 - Konkurransegjennomføring 3 - Kontraktsoppfølging Dokumenter: Maler, prosedyrer, veiledere og sjekklister 41

42 Delprosess 1 Avklare behov og planlegging Formål Formålet med prosessen er å avdekke om man har ett behov for anskaffelsesprosess eller om man har allerede eksisterende rammeavtaler/avtaler man kan avrope. Innmelding av behov gjøres via behovsmelding i Mercell og 1 gang årlig (4.kvartal) fra hver enkelt seksjon samlet. Resultatet av dette utarbeides i en årlig anskaffelsesplan. Aktuelle dokumenter Beskrivelse Behov for nye avtaler kan oppstå med bakgrunn i flere årsaker. Det kan være behov for nye varer eller tjenester etter innspill fra virksomheter, fagmiljø, avtaler som løper ut, dårlige avtaler som må erstattes eller analyse som avdekker store innkjøp utenfor avtale. Virksomhetene gjennomfører anskaffelser etter FOA del I selv. Man behøver ikke å melde inn via behovsmelsing dersom det finnes eksisterende rammeavtale. Deltakere Anskaffelsesenheten Virksomheten Kommunalsjef Delprosesss 1 Avklare behov og planlegging 1- Avklare behov og planlegge 2 - Konkurransegjennomføring 3 - Kontraktsoppfølging Utløpende avtaler Analyser Manglende avtaledekning Behov for å erstatte avtale Innspill fra virksomhet

43 Delprosesss 1 Avklare behov og planlegging 1- Avklare behov og planlegge 2 - Konkurransegjennomføring 3 - Kontraktsoppfølging Utløpende avtaler Analyser Manglende avtaledekning Behov for å erstatte avtale Innspill fra virksomhet Gjennomføring 1. Anskaffelsessjef oversender status og oversikt over kommende anskaffelser (4.kvartal) årlig 2. Seksjonene/virksomhetene kvalitets sikrer oversikt, og avklarer kommende års behov for anskaffelsesbistand 3. Seksjonen må prioritere hvilke anskaffelser som haster via direktør 4. Det etableres årlig anskaffelsesplan 5. Anskaffelsesenheten vurderer hvilke anskaffelser man har behov for markedsundersøkelse, dialog med markedet, høring av dokumenter i markedet 6. Etablerer TAT (tverrfagliganskaffelsesteam) 7. Anskaffelsesenheten innkaller til oppstartsmøte. Benytt mal for oppstartsmøte

44 Delprosess 1 Avklare behov og planlegging 1.1 Behovsmelding 1.2 Rammebetingelser 1.3 Anskaffelsens formål Behovsmelding En god behovsmelding vil gi oss ett godt beslutningsdokument for behov og formål med anskaffelsen. I tillegg kan vi få oversikt mulige endringer eller utfordringer som man har med dagens avtaler eller kommende avtaler. Gjennomføring 1. Seksjon/avdeling fyller ut elektronisk behovsmelding i Mercell med beskrivelse av behovet. 2. Eksisterende rammeavtaler meldes inn gjennom årlig utsendelse til direktørene 1.4 Markedsundersøkelse 1.5 Planlegge

45 Delprosess 1 Avklare behov og planlegging 1.1 Behovsmelding 1.2 Rammebetingelser 1.3 Anskaffelsens formål 1.2 Rammebetingelser Formålet med aktiviteten er å sikre at en eventuell beslutning om å anskaffe faktisk er i tråd med de rammebetingelser (strategiske føringer) du må overholde. Rammebetingelsene setter grenser for hvordan du kan oppnå formålet. Aktuelle rammebetingelser kan være; 1. Anskaffelsesstrategien 2. Anskaffelsesreglementet 3. Klimaplan 4. Fredrikstadmodell 5. Miljø, sosial og etiske krav (Difi sine anbefalinger) 1.4 Markedsundersøkelse 1.5 Planlegge

46 Delprosess 1 Avklare behov og planlegging 1.1 Behovsmelding 1.2 Rammebetingelser 1.3 Anskaffelsens formål 1.4 Markedsundersøkelse 1.5 Planlegge 1.3 Anskaffelsens formål En god formålsbeskrivelse tydeliggjør hvilke resultater og effekter som ønskes oppnådd, som igjen vil legge føringer for hvilke behov som bør ivaretas. Ved å konkretisere formålet med anskaffelsen, beskrives den effekt eller tilstand som ønskes oppnådd helt eller delvis gjennom anskaffelsen. I sin enkleste form er formålet et direkte "svar" på utfordringen. Formål kan brukes til; som en intern forankring av den felles forståelsen av hva virksomheten vil oppnå med denne anskaffelsen som referansegrunnlag når spesifikasjon, tildelingskriterier og kontraktskrav formuleres som sentral informasjon til leverandørenes forståelse av hva de skal tilby og levere. Denne informasjon vil ha betydning av hva slags ytelser de tilbyr i sine tilbud. som vurderingstema under evalueringen mht i hvilken grad de ulike tilbudene bidrar til ønsket effekt som referansegrunnlag i dialogen etter kontraktsinngåelse og mellom din virksomhet og valgte leverandør i utviklingsanskaffelser som vurdering av om du får kontraktsmessig leveranse; bidrar leveransen til at virksomheten oppnår det formål som er angitt

47 Delprosess 1 Avklare behov og planlegge 1.1 Behovsmelding 1.2 Rammebetingelser 1.3 Anskaffelsens formål 1.4 Markedsundersøkelse Formålet: Formålet med aktiviteten er å få en første oversikt om konkurransesituasjonen på mulige markeder og ett grovt estimat på kostnadsbilder. Man trenger ikke å oppsøke leverandører. Men kan for eksempel: - Analysere statistikk - Benytte nettverk - Messer/konferanser - Enkelt søk på internett - Her har man dialog med avtaleforvaltere som kan gjøre analysejobb 1.4 Markedsundersøkelse 1.5 Planlegge

48 Delprosess 1 Avklare behov og planlegge 1.1 Anbudsbestilling 1.2 Rammebetingelser 1.3 Anskaffelsens formål 1.5 Planlegge God planlegging legger grunnlaget for en god anskaffelsesprosess. Tverrfaglig anskaffelsesteam etableres, og det gjennomføres ett oppstartsmøte. Gjennomføring: 1. Prosjektleder oversender e-post til kommunalsjefer ved oppstart av anskaffelse på en rammeavtale for å få oppgitt aktuelle deltakere i prosessen. 2. Innkaller aktuelle deltakere til oppstartsmøte 1. Avklarer roller og videre deltakelse 2. Avklarer møter for selve anskaffelsen videre 3. Milepælsplan settes opp i Mercell 1.4 Markedsundersøkelse 1.5 Planlegge

49 Delprosess 2 Konkurransegjennomføring Formål Formålet med prosessen er å inngå en kontrakt med en eller flere leverandører. Delprosess 2 Gjennomføring av anskaffelsen 1- Avklare behov og planlegge 2 - Konkurransegjennomføring 3 - Kontraktsoppfølging Anskaffelsesplan Utarbeidelse av 3.1 konkurranse grunnlag Utlysning Tilbud Utlyst forespørsel 3.3 Evaluering 2.3 Kvalifikasjon Evaluering 2.4 Innstilling / tildeling Innstilling Tildelingsbrev 2.6 Forespørsel om deltagelse Konkurransegrunnlag Kontraktsinngåelse Kontrakt Evaluering Implementering 3.1 Klage Klagebehandling Behandlet klage

50 2.1 Utarbeidelse av konkurransedokument Utarbeidelse av Innstilling / Utlysning Evaluering Kontraktsinngåelse Implementering konkurranse tildeling Klagebehandling grunnlag Formål Formålet med kvalitetssikringen er å sikre at konkurransegrunnlaget ivaretar kommunens behov. Gjennomføring Maler i Mercell skal benyttes - Opprett saksnummer i Elements fra Mercell - Vurder høring av dokumenter gjennom veiledende kunngjøring Doffin, dialogkonferanse - Siste utkast sendes på kort høring til TAT - Dokumenter sendes til kontroll hos jurist/anskaffelsessjef før neste steg - Kontroll av konkurranseform - Kontroll av kvalifikasjonskriterier - Kontroll av tildelingskriterier - Kontroll at malverk er benyttet Maler: - Se Mercell

51 2.2 Utlysning Utarbeidelse av Innstilling / konkurranse Utlysning Evaluering Kontraktsinngåelse tildeling Klagebehandling Implementering grunnlag Formål Formålet med utlysningsfasen er at konkurransegrunnlag blir tilgjengelig for aktuelle interessenter. Gjennomføring Alle aktiviteter gjennomføres i KGV. 1. Prosjektleder kunngjør konkurransegrunnlag med vedlegg i KGV. Kunngjøringer over EØS terskelverdi må oversettes for publisering i TED. Dette kan utføres av DOFFIN og innholdet blir oversendt innsender for kvalitetssikring før det publiseres 2. I utlysningsfasen skal prosjektleder være tilgjengelig for skriftlige henvendelser fra leverandørene. Telefoniske henvendelse skal avvises 3. Svar på spørsmål til konkurransegrunnlaget håndteres via KGV

52 2.3 Evaluering Utarbeidelse av Innstilling / konkurranse Utlysning Evaluering Kontraktsinngåelse tildeling Klagebehandling grunnlag Implementering Formål Formålet med fasen er å registrere innkomne tilbud, kvalifisere aktuelle leverandører og gjennomføre en evaluering slik at tilbudene kan rangeres. Gjennomføring Følgende aktiviteter må gjennomføres: 1. Når fristen er utgått gjennomføres en tilbudsåpning. 2. Alternativ 1 Kvalifikasjon av leverandør med mottatt dokumentasjon i tilbudet. Detet gjøres i Mercell. Avvisningsbrev sendes umiddelbart etter kvalifikasjonsarbeidet (se mal for avvisning- ikke ferdig utarbeidet). Alternativ 2 Del 2 anskaffelse- sjekker ESPD skjemaet Del 3 anskaffelse- sjekker ESPD skjemaet 3. Tilbud som er kvalifisert evalueres og rangeres. Evaluering skjer i Mercell. Ved behov kan det være behov for å utvikle egne modeller for evaluering. Hablitetskjema skal benyttes før oppstart av evaluering. Maler Mal habilitetsskjema

53 2.4 Innstilling/tildeling Utarbeidelse av Innstilling / Kontraktsinngåelse konkurranse Utlysning Evaluering Klagebehandling Implementering tildeling grunnlag Formål Formålet med fasen er å innstille/tildele til rett leverandør. Utarbeide og gi nok informasjon til leverandørene. Gjennomføring Følgende aktiviteter må gjennomføres: 1. Utarbeider innstilling/tildeling i Mercell, som overføres til tildelingsbrev 2. Tildelingsbrev oversendes til jurist eller anskaffelsessjef for kvalitetssikring 3. Tildelingsbrev oversendes gjennom kommunikasjonsmodul i Mercell. Maler Mal for brev meddelelse om tildeling (se mercell)

54 2.5 Klagebehandling Utarbeidelse av Innstilling / Kontraktsinngåelse konkurranse Utlysning Evaluering Klagebehandling Implementering tildeling grunnlag Formål Formålet med aktiviteten er å behandle eventuelle klager og anmodninger om utvidet begrunnelse. Gjennomføring 1. Ved mottak av anmodning om utvidet begrunnelse håndteres dette av saksbehandler. Utvidet begrunnelse distribueres til leverandør som har sendt forespørsel 2. Ved mottak av klage utarbeides et utkast til tilsvar som oversendes jurist/ anskaffelsessjef for kvalitetssikring. TAT deltar i dette arbeidet 3. Alle klager besvares så fremt det er mulig innen klagefristen. Hvis innkomne klager kan tyde på at det er gjort feil, kan klagefristen utvides slik at prosjektet får gjennomført en ny vurdering av anskaffelsen 1. Klagen må alltid vurderes i forhold til konsekvens for kontraktsinngåelse. Er det overveidende sannsynlighet for at klager kan vinne igjennom må risikoen for kontraktsinngåelse vurderes. Klager har mulighet til å melde saken til KOFA og begjære om midlertidig forføyning. Ved midlertidig forføyning må kontraktssignering utsettes. Hvis kontrakt er inngått kan klager kun melde saken til KOFA og det vil da være snakk om eventuelt erstatningsansvar hvis klager får medhold i klagen

55 2.6 Kontraktsinngåelse Utarbeidelse av Innstilling / Kontraktsinngåelse konkurranse Utlysning Evaluering Klagebehandling Implementering tildeling grunnlag Formål Formålet med aktiviteten er å utarbeide endelig kontrakt og distribuere den for kontraktssignering. Gjennomføring 1. Endelig kontrakt utarbeids med bakgrunn i valgt leverandør og eventuelle endringer som følge av konkurransen. 2. I forbindelse med signering må det vurderes om kontraktens gyldighet skal være fra signeringstidspunkt eller en gitt dato. I forbindelse med store avtaler som krever planlegging og tilrettelegging for implementering og tilgjengeliggjøring av katalog, vil det være svært nyttig å sette en dato frem i tid. Implementering kan ta tid. 3. Endelig kontrakt signeres elektronisk i Mercell. 4. Rammeavtaler signeres av anskaffelsessjef. Avtaler signeres av direktør inntil man har fått på plass fullmakts hirarkiet for signering av avtaler som skal gjelde i Mercell 5. Saksbehandler har forvaltningsansvaret for avtalen, men virksomheten er kontraktseier og følger opp den daglige driften

56 2.7 Implementering Utarbeidelse av Innstilling / Kontraktsinngåelse konkurranse Utlysning Evaluering Klagebehandling Implementering tildeling grunnlag Formål Formålet med aktiviteten er å sikre god implementering, gjøre avtalen kjent i kommunen, og sikre riktig bruk av avtalen Gjennomføring 1. Saksbehandler oppdaterer Mercell avtalekatalogen. 2. Saksbehandler skriver tekst som publiseres på FREKIT 3. Importerer varekatalog (gjøres ved rammeavtaler) 4. Aktiverer leverandører. Ved ny leverandører må samhandlingsavtalen signeres av begge parter

57 Delprosess 3 Kontraktsoppfølging Formål Et annet ord for kontraktoppfølging er kontraktstyring, altså en aktiv styringsprosess fra kontrakten inngås, til den er avsluttet. Kjernen i kontraktoppfølging er, foruten å sørge for at leverandøren oppfyller sin del av kontrakten, å håndtere de problemer og uregelmessigheter som måtte oppstå, og som berører kontrakten på noen måte. Beskrivelse Kontraktoppfølging er viktig for å sikre en vellykket anskaffelse, gjennom oppfølging av leveransen og ved å ivareta rettigheter og plikter som påhviler partene. God kontraktoppfølging forebygger også tvister og bidrar således til effektiv ressursbruk for både oppdragsgiveren, leverandøren og samfunnet. eksisterende rammeavtale. Delprosess 3 Kontraktsoppfølging 1- Avklare behov og planlegge 2 - Konkurransegjennomføring 3 - Kontraktsoppfølging Forberede kontraktsgjennomføring Bruke avtalen Kontraktsforvaltning

58 Delprosess 3 Kontraktsoppfølging Forberede kontraktsforvaltning 3.1 Etablere kontraktsregime 3.1 Etablere kontraktsregime Formålet med denne aktiviteten er å konkretisere og avtale nærmere hvordan avtalen skal gjennomføre og forvaltes. 3.2 Intern implementering 3.3 Følge opp leveranse 3.4 Godkjenning og betaling Kontraktsforvalter Den som har gjennomført anskaffelsesprosessen er avtaleforvalter. Hovedsakelig er dette innkjøpsrådgivere Kontraktseier Den seksjon, avdeling som er største bruker og som har ansvaret for å tilrettelegge interne rutiner for å ta i bruk rammeavtale/avtale I denne fasen etablerer man og fyller ut avtalen basert på avtalen som ble sendt ut sammen med utlysning. I tillegg etablerer man samhandlingsavtale dersom leverandør skal benytte varekataloger. Dersom man skal ha benytte fritekst, etableres det en epost som kan motta ordre. Det kan i visse tilfeller være unntak for bruk av ehandel, dersom leverandør har en annen elektronisk løsning som ikke er hensiktsmessig å integrere i vårt system. 3.5 Kontraktsforvaltning Aktuelt dokument: Mal for Rammeavtalene/avtalene (Mercell)

59 Delprosess 3 Kontraktsoppfølging Forberede kontraktsforvaltning 3.1 Etablere kontraktsregime 3.2 Intern implementering Formålet med denne aktiviteten er å forankre den inngåtte kontrakten internt og kommunisere ansvar for kontraktsmessig gjennomføring av avtalen 3.2 Intern implementering 3.3 Følge opp leveranse Kontraktsforvalter Følger implementeringen i delprosess 2: 1. Saksbehandler oppdaterer avtalekatalogen i Mercell 2. Saksbehandler skriver tekst som publiseres på FREKIT 3. Importerer varekatalog (gjøres ved rammeavtaler) 4. Aktiverer leverandører. Ved ny leverandører må samhandlingsavtalen signeres av begge parter. 3.4 Godkjenning og betaling Kontraktseier 1. Etablerer rutiner ved behov 2. Bestiller produkt/tjeneste 3. Følger opp leveransen 3.5 Kontraktsforvaltning Bestillere må gjennomføre ehandelskurs som ligger tilgjengelig på FREKIT ang bestilling og varemottak

60 Delprosess 3 Kontraktsoppfølging Bruke avtalen 3.1 Etablere kontraktsregime 3.2 Intern implementering 3.3 Følge opp leveransen Det er de som er tildelt rollen som bestiller som skal bestille, følge opp leveransen og kontrollere leveransen og sende til betaling. Rollen med ansvaret for å motta ytelsen og betaling skal følge rutine, ansvar fra bestilling til mottak av faktura Ved bestilling er det viktig at varemottak utføres ved levering. Ved bruk av ehandel som er vedtatt i Fredrikstad kommune vil man unngå en del manuelle operasjoner, og man vil få økt matching mellom bestilt vare og faktura. 3.3 Følge opp leveranse 3.4 Godkjenning og betaling Bestillere må gjennomføre ehandelskurs som ligger tilgjengelig på FREKIT ang bestilling og varemottak Kontraktsforvaltning

61 Delprosess 3 Kontraktsoppfølging Bruke avtalen 3.1 Etablere kontraktsregime 3.2 Intern implementering 3.3 Følge opp leveranse 3.4 Godkjenning og betaling Oppfølging og kontroll av det som faktisk blir levert er grunnlaget for å godkjenne eller avvise en leveranse. Godkjenning er en forutsetning for betaling av leveransen Typiske område for avvik er gjerne knyttet til følgende punkt: Ordre avviker fra bestilling. Leveranse er ikke kommet eller er forsinket Leveranse er mangelfull eller har skader. Dokumentasjon avviker fra faktiske forhold. Faktura avviker fra leveranse eller avtalte vilkår. I første omgang følger bestiller opp avvik Gjentakende avvik meldes avtaleforvalter, som vurderer hvor vesentlig avviket er og videre vei 3.4 Godkjenning og betaling 3.5 Kontraktsforvaltning

62 Delprosess 3 Kontraktsoppfølging Kontraktsforvaltning 3.1 Etablere kontraktsregime 3.2 Intern implementering 3.3 Følge opp leveranse 3.4 Godkjenning og betaling Følge opp leverandør Avtaleforvalter er ansvarlig Kontraktsforvaltning er regulert gjennom inngåtte avtaler/rammeavtaler Kontraktsforvalter følger opp: Milepælsplanen som er etablert på den enkelte rammeavtale Endring av kontrakt Gjennom oppfølging av leveranser, leverandøren og avtalen kan det bli behov for å gjøre endringer og tilpasninger i avtaleforholdet. Kontraktsforvalter må styre og ha løpende kontroll på endringene som gjøres i avtaleforholdet. Flere mindre endringer kan i sum bli en ulovlig vesentlig endring og i realiteten ulovlig direkte anskaffelse Avslutting av kontrakt Skjer normalt ved utløpet av maksimal avtaleperiode, dersom man ikke har hatt oppsigelse eller heving av kontrakt. 3.5 Kontraktsforvaltning

63 63

64 Dokumenttype: Revideres av: Versjon: Veileder Nordal Karin 2.0 Dokumentansvarlig: Godkjent dato: Nordal Karin Terskelverdier anskaffelser (innkjøp)-varer og tjenester Verdi på kjøp av vare og tjeneste beregnet for 4 år (eks mva) Rutiner/aktivitet Gjeldende regelverk Ansvar Kr NOK Innkjøp skal foretas via e-handel (fritekst, dersom varen ikke ligger på en varekatalog) Unntatt regelverket, men sterke føringer fra departementet at man skal gjennomføre prisforespørsel (3 stk) Den enkelte virksomhet/avdelin g Kr NOK Protokollplikt Forespørre minimum 3 leverandører, men antallet økes proporsjonalt nærmere man er teksleverdien Arkivere saken i ephorte Kvalitetssikring av anskaffelsesenheten Del 1 av FOA (ingen kunngjøringsplikt). Anbefaler at man kunngjør over kr Plikt til skatteattest over kr Virksomhet/ anskaffelse kvalitets sikrer Over kr NOK (Del 2- nasjonal terskelverdi) Anskaffelsesenheten skal styre anskaffelsesprosessen, sammen med opprettet tverrfaglig anskaffelsesteam (TAT) Del 1 og Del 2 av FOA Nasjonal kunngjøring Anskaffelse/ Virksomhet Over kr (varer og tjenester) (Del 3- TED terskelverdi) Anskaffelsesenheten skal styre anskaffelsesprosessen, sammen med opprettet tverrfaglig anskaffelsesteam (TAT) Del 1 og Del 3 av FOA Europeisk kunngjøring ESPD skjema må benyttes Anskaffelse/ Virksomhet - Terskelverdiene benyttes når det ikke foreligger gyldig rammeavtale som man kan foreta avrop (kjøp) fra. - Terskelverdiene beregnes ut ifra om man har gjentakende kjøp eller om det er enkelt kjøp - Kommunen sees som en samlet enhet Tittel: Terskelverdier anskaffelser (innkjøp)-varer og tjenester Utskriftsdato: Side 1 av 1 64

65 Veileder Del III Anskaffelse over terskelverdi Versjon: Utarbeidet av Kine Rustad Kristiansen 65

66 Innholdsfortegnelse 1. HENSIKT OG FORMÅL INNLOGGING DEL III ANSKAFFELSE...5 PROSJEKTER START REGISTRERING AV KONKURRANSE...6 MALER...6 STEG 1. OPPRETTE KONKURRANSE...6 VELG KONKURRANSER...7 SETT SOM FAVORITT ENDRE INNSTILLINGER FANEBLADET BESKRIVELSE...10 OVERSKRIFT...10 SAKSNUMMER...10 II.1.4) KORT BESKRIVELSE...10 II. 2.4) UTVIDET BESKRIVELSE...10 FRISTER OG DATOER...11 FERDIGSTILLELSE «TOMMEL OPP» FANEBLADET EVALUERING...12 EVALUERINGSOPPSETT...12 ESPD AVVISNINGSGRUNNER...13 ESPD KVALIFIKASJONSKRAV REGISTRERE KRAV (KRAVSPESIFIKASJON)...15 KRAV...16 REDIGERE KRAV:...16 NYE KRAV...16 FERDIGSTILLELSE «TOMMEL OPP» FANEBLADET DOKUMENTER...17 VEDLEGG...17 DYNAMISKE DOKUMENTER...18 TIPS FANEBLADET LEVERANDØRER...24 INVITERE LEVERANDØRER FANEBLADET BETINGELSER...25 NUTS-kode REGISTRERE CPV-KODER UTFYLLING AV SKJEMA (DOFFIN) FANEBLADET BRUKERE PUBLISER KONKURRANSEN...29 FORHÅNDSVISNING...29 PUBLISERING KOMMUNIKASJON OG TILLEGGSINFORMASJON...31 LEVERANDØR STILLER SPØRSMÅL

67 TILLEGGSINFORMASJON NEDLASTNING AV TILBUDSDOKUMENTER - ZIP-FIL EVALUERING AV TILBUD...35 GODKJENNE AVVISNINGSGRUNNER OG KVALIFIKASJONSKRAV...35 GODKJENNE KRAV TILDELING PROTOKOLL ANSKAFFELSESRAPPORT PLASS TIL EGNE NOTATER

68 1. Hensikt og formål Hensikten med dette dokumentet er å gi tilstrekkelig støtte slik at den tekniske prosessen fra konkurransegjennomføring til kontraktoppfølging gjennomføres i henhold til interne prosedyrer/retningslinjer og regelverket for offentlig anskaffelser. Utover dette skal veiledningene som vises i de diverse skjermbildene og i Mercell systemet benyttes. 2. Innlogging Du logger inn i Mercell via Frekit. 4 68

69 3. DEL III ANSKAFFELSE Prosjekter For å kunne registrere en konkurranse i Mercell må konkurransen først registreres i et prosjekt. Det er kun superbruker som har lov til å opprette nye prosjekter. Ansatte i Fredrikstad kommune skal IKKE opprette nyeprosjekter. Prosjektoversikten i Fredrikstad kommune er som følger; Superbrukere i Fredrikstad kommune: Kine Rustad Kristiansen Avdeling for anskaffelser Jorunn Amundgård Avdeling for anskaffelser Kristian Flateby Teknisk drift Har du spørsmål, ta kontakt med en superbruker. Maler: Det er utarbeidet et fullstendig sett med maler for den enkelte anskaffelse avhengig av terskelverdi. 5 69

70 4. Start registrering av konkurranse Maler Steg 1. Opprette konkurranse Første steg for å kunne registrere en anskaffelse i Mercell Gå til prosjekter Malene er allerede ferdig utfylt med standard informasjon som f.eks «Over EU terskelverdi», aktuell forskrift, skjema, prosedyre og kontraktstype. Velg prosjektet Maler Fredrikstad kommune 6 70

71 Velg faneblad konkurranser I dette prosjektet vil du finne malverk for de fleste anskaffelser avhengig av hvilken del i forskriften du tilhører. Finn aktuell konkurranse i malprosjektet. Klikk på kopier 7 71

72 Velg hvilket prosjekt anskaffelsen skal legges i. Anskaffelsen skal legges i prosjektet for avdelingen du tilhører f.eks. «Teknisk drift Prosjektutvikling avtaler» Knytt til avtale.. Velg nei Klikk ok. Konkurransen er nå opprettet. 8 72

73 Sett som favoritt For å raskt finne igjen konkurransen, anbefaler vi at du markerer den som en favoritt. Konkurransen legger seg da på listen under «Favoritter» på forsiden. Klikk på stjerne-ikonet i menyen øverst til høyre på skjermen. 5. Endre innstillinger For å endre innstillinger i konkurransen som f.eks. standard informasjon som terskelverdi, aktuell forskrift, skjema, prosedyre og kontraktstype, går du til «rediger innstillinger» 9 73

74 6. Fanebladet Beskrivelse Overskrift Overskriften følger navnet på malkonkurransen som er kopiert. Denne må endres. Overskriften er det første en leverandør vil se, og det er viktig at den inneholder informasjon om hva kunngjøringen gjelder. Saksnummer Integrasjon med e-phorte er ikke helt klar. Du må derfor opprette et saksnummer i e-phorte å legge dette inn her. Veiledningen vil bli oppdatert II.1.4) Kort beskrivelse Feltet Kort beskrivelse har en begrensning på 950 tegn. Feltet skal inneholde en kort beskrivelse om hva avtalen gjelder. Denne teksten hentes opp i konkurransegrunnlaget, kap. 1 Generell beskrivelse. Teksten i dette feltet overføres også til kunngjøringsskjema. «Oppdragsgiver inviterer med dette til konkurranse for inngåelse av avtale vedrørende kjøp av [Legg inn tekst med beskrivelse av hva som skal anskaffes og hvilket behov anskaffelsen skal dekke]» Fullstendig beskrivelse av leveransen følger av vedleggene til konkurransegrunnlaget. II. 2.4) Utvidet beskrivelse 10 74

75 Feltet Utvidet beskrivelse har en begrensning på 4000 tegn. Feltet for utvidet beskrivelse: Her skriver saksbehandler en mer detaljert beskrivelse av hva som skal anskaffes. Er det dela anskaffelser kan dette beskrives her, hvem som skal bruke avtalen etc. Denne teksten hentes opp i konkurransegrunnlaget, kap Anskaffelsens formål. Teksten i dette feltet kopieres også til Kunngjøringsskjema. Frister og datoer a. Velg «Varighet i måneder»: 24 b. Fyll ut «Frist for innlevering» c. Fyll ut «Dato for tilbudsåpning» d. Velg Type vedståelsesfrist «Tilbud gyldig - antall måneder»: 3 e. Fyll ut «Tidsfrist for å stille spørsmål» f. Feltet «Dokumenter tilgjengelig inntil» lar du stå tomt. Frister og datoer overføres til kunngjøringsskjemaet og flettes inn i dynamiske dokumenter. Ferdigstillelse «Tommel opp» Feltet «beskrivelse» vil endre farge til gult og du vil få en tommel opp til høyre i bilde. For å ferdigstille punktet klikker du på tommelen. Dersom du senere ønsker å gjøre endringer, klikker dupå blyanten og feltet endrer seg. Alle felter må ferdigstilles før du kan kunngjøre anskaffelsen

76 7. Fanebladet Evaluering I fanebladet Evaluering skal du gjennomgå evalueringsoppsett, ESPD avvisningsgrunner, ESPD kvalifikasjonskrav, krav til leveransen/ytelsen, tildelingskriterier og eventuelle evalueringsmetoder man ønsker å benytte seg av. Evalueringsoppsett Under evalueringsoppsett bestemmer du hvilken evalueringsmetode du skal bruke. Inntil evalueringsoppsett er gjennomgått i Mercell skal saksbehandler evaluere utenfor Mercell

77 Gå til «Velg evalueringsmetode» og velg «ingen evaluering i Mercells system» ESPD Avvisningsgrunner ESPD skjema er allerede ferdig utfylt med standardkrav Fredrikstad kommune stiller. Disse må gjennomgås. Under fanen Avvisningsgrunner er alle lovpålagte krav allerede ferdig markert med en grønn hake. I seksjon C og D er i tillegg haket av i henhold til mal i Fredrikstad kommune

78 ESPD Kvalifikasjonskrav Under fanen Kvalifikasjonskrav skal du legge inn de kravene leverandøren må oppfylle for å få sitt tilbud evaluert /delta i konkurransen. Kravene gjenspeiler de standardkravene som er felles for EØS-området. Dokumentet har allerede fylt ut standardkrav i henhold til mal for Fredrikstad kommune. Ved å huke av for hvilket krav du stiller, får du mulighet til å konkretisere minimumskrav og dokumentasjonskrav i vinduet som dukker opp når du klikker på redigere til høyre (bildet over). Når du har fylt inn teksten klikker du på OK og deretter øverst i menyen. Hvis kravene som er listet opp ikke passer til ditt behov, kan du legge til et nytt krav. Klikk på Legg til og beskriv kravet i vinduet som dukker opp. Klikk på «Legg til» for å legge til ytterligere krav 14 78

79 Skriv inn tittel og beskrivelse, og klikk OK. Ønsker du å slette et krav klikker du på til høyre på skjermen. 8. Registrere krav (kravspesifikasjon) Gå tilbake til startsiden for konkurransen - velg status Krav 15 79

80 Under menyen Krav kan du legge til krav til ytelsen eller leveransen. Dette kan være spesifikke krav til produkter eller tjenester, miljøkrav knyttet til produkter eller emballasje, osv. Mal ligger allerede inne. Redigere krav: Klikk deg inn i overskriften og rediger kravet. Ønsker du å slette et krav klikker du på til høyre på skjermen. Nye krav Ved opprettelsen av nye krav: a. Klikk på «+ Legg til ny» b. Navn: Krav til erfaring fra offentlig sektor c. Legg til en kort beskrivelse: Konsulenter må ha erfaring fra offentlig sektor d. La Beskrivelse og Vedlegg stå på «Leverandør kan legge til beskrivelse/vedlegg» e. Klikk «Lagre og lukk» Krav registrert: 16 80

81 Ferdigstillelse «Tommel opp» Alle felt vil endre farge til gult og du vil få en tommel opp til høyre i bilde. For å ferdigstille punktet kan du klikke på tommelen. Dersom du allikevel ønsker å gjøre endringer. Klikk på blyanten og feltet endrer seg. 9. Fanebladet Dokumenter Vedlegg Ved opprettelsen av konkurransen ble alle dokumenter som er relevant for din anskaffelse med over i konkurransen fra malen. Dette gjelder både vedlegg og dynamiske dokumenter: Dersom du har behov for flere dokumenter må du laste opp disse slik at de følger med konkurransen

82 a. Klikk på + Legg til ny b. Klikk på Bla gjennom i dialogboksen som dukker opp c. Velg fil(er) og klikk Åpne. Du kan velge flere filer ved å holde control-knappen nede samtidig som du klikker på filen du vil ha med. d. Klikk på Last opp vedlegg Dynamiske dokumenter Et dynamisk dokument er et generert pdf-dokument som består av data og informasjon som flettes inn fra Mercell. Et dynamisk konkurransegrunnlag som er tilgjengelig for leverandørene er derfor oppdatert til enhver tid. Hvis det skjer endringer i konkurransen etter kunngjøring, f.eks. ny tilbudsfrist, vil den nye fristen flettes inn i en ny versjon av konkurransegrunnlaget, og leverandør har derfor alltid et oppdatert konkurransegrunnlag tilgjengelig I Fredriksatd kommunes malverk ligger kravspesifikasjsonen og konkurranegrunnlaget som dynamiske dokumenter. Åpne dynamiske dokumenter. Her ligger konkurransegrunnlaget for anskaffelsen. Klikk på navnet og du vil komme til dokumentet. Gå til innhold: 18 82

83 Alle punkter skal leses og gjennomgås. Felter med Varseltrekant er felter du MÅ vurdere/gjennomgå og fylle ut. Start med å gjennomgå for eksempel punkt 1.1 om oppdragsgiver. Dynamiske dokumentet inneholder felter som kalles datafelt. Disse feltene er gule og som indikerer at saksbehandler må inn i punktet og gjennomgå forslag til tekst

84 Trykk på det gule feltet og du vil bli ledet inn i en tekstboks. Tekstboksen viser deg en oversikt over hva som er hjelpetekst til saksbehandler og hvilken tekst som du skal fylles inn. Velg tekstboks og beskriv oppdragsgiver. Når du har beskrevet punktet må det hakes av for utført og deretter klikker du lagre og lukk. Datafeltet (den gule teksten) endrer da farge til grønn. Det betyr at punktet er ferdig gjennomgått. Du vil nå se at varseltrekanten har forsvunnet

85 Gå videre til neste punkt i konkurransegrunnlaget og følge prosedyren ovenfor for hvert enkelt punkt. Dersom det er punkter som ikke er nødvendig. F.eks. befaring, kan du slette dette ved å trykke på krysset bak punktet

86 Når alle punkter i dokumentet er gjennomgått er alle varseltrekanter også borte. Klikk lagre og gå tilbake til prosessen

87 Det gjør du ved å trykke på navnet øverst til venstre. Tips Dersom du underveis i prosessen ønsker å se konkurransegrunnlaget i sin helhet kan du velge forhåndsvisning: Her vil du få opp en pdf-fil som viser hele dokumentet

88 10. Fanebladet Leverandører Under dette fanebladet kan du invitere leverandører til å delta i konkurransen. Inviterte leverandører vil ikke få tilgang til konkurransen før den ligger offentlig tilgjengelig på Doffin/TED. Når konkurransen er kunngjort får inviterte leverandører en epost med en lenke til konkurransen i Mercell. Hviskonkurransen er delt opp i delleveranser, legger man til leverandører på hver delleveranse. Invitere leverandører Det er mulig å invitere leverandører på alle typer konkurranser, også konkurranser som skal kunngjøres på Doffin/TED. Innkjøperen må derfor selv vurdere hvordan likebehandlingsprinsippet blir ivaretatt i den enkelte konkurransen. Leverandørene legges til under Leverandører-fanen. a. Klikk på «+ Legg til» b. Huk av ved leverandører du ønsker å invitere c. Klikk på for å legge leverandør til «Valgte leverandører» d. Klikk på «Legg til leverandøren(e)» nederst til høyre for å legge leverandørene til konkurransen 24 88

89 Slik ser det ut når leverandørene er lagt til. I en konkurranse som kunngjøres på Doffin/Ted vil de inviterte leverandørene motta en invitasjon først etter at konkurransen er kunngjort på Doffin/Ted. 11. Fanebladet Betingelser Under fanebladet Betingelser vises innstillingene på konkurransen; terskelverdi, skjema, valgt prosedyre osv. Her kan du legge inn en estimert verdi på avtalen. Beløpet må oppgis i hele tall, og blir overført til kunngjøringsskjema hvis utfylt. NUTS-kode Her skal du velge region/nuts-kode. Koden blir overført til kunngjøringsskjema. Velg østfold 25 89

90 12. Registrere CPV-koder CPV-koder legges til under fanebladet CPV. Du kan søke opp koder, og velge ønsket kode ved å klikke på Primær CPV-kode velges ved å markere radioknappen ut for primær kode. Du kan også velge å la Mercell legge til CPV-koder ved å huke av i boksen nederst til venstre

91 Mercell har erfarne medarbeidere med årelang erfaring og inngående kjennskap til CPV-koder vil velge riktige koder ut fra beskrivelsen du har oppgitt i konkurransen. Vi anbefaler derfor at du lar Mercell finne riktig CPV-koder. Når det er opprettet en konkurranse med delleveranser må man velge CPV på hovedkonkurransen og på hver delleveranse. 13. Utfylling av skjema (Doffin) Selv om mye av informasjonen som skal sendes til Doffin er utfylt, gjenstår noen punkter som må beskrives på den enkelte konkurranse. For å komme til Mercells visning av Doffinskjemaet, klikker du på «skjema» For å se hvilke felter som har mangler kan du trykke på «Valider» i menyen. I pop-up-vinduet kan man se hvilke felter man må fylle ut manuelt i skjemaet

92 Vær OBS på feltet «Doffin vedlegg) Bestillingsnummer» under fanen Doffin. Her må du fylle ut en intern referanse., prosjektnummer eller liknende. Denne referansen vil fremkomme på fakturaen for oversettelse du vil motta fra Doffin. 14. Fanebladet Brukere Her kan du gi rettigheter til konkurransen til andre brukere internt i virksomheten. Velg en bruker ved å klikke på navnet i oversikten til venstre, og huk av for ønsket tilgangsnivå til høyre. Du kan se hvem som har tilgang til konkurransen i oversikten nederst

93 15. Publiser konkurransen Konkurransen er nå ferdig registrert, og er klar for å publiseres. Forhåndsvisning Hvis du er nysgjerrig på hvordan konkurransen ser ut for leverandørene, kan du klikke på Forhåndsvisning i menyen. Denne viser hvordan konkurransen vil se ut for en leverandør som har meldt interesse før han starter på leveringsprosessen

94 Publisering For å publisere konkurransen klikker man på Publiser i menyen. Husk at alle felter i status må være grønne. Man får da opp følgende advarsel: Når du klikker «OK» går konkurransen til kvalitetskontroll hos Mercell support og vil få status Kvalitetssikring. Når kunngjøringen er kvalitetssikret sendes videre til Doffin. Så lenge status er Kvalitetssikring kan du gjøre endringer på konkurransen ved å klikke på blyanten i menyen. Når kunngjøringen er ferdig behandlet hos Mercell blir den sendt videre til Doffin og får nå status «Venter». Dette betyr at den ligger i kø hos Doffin og + venter på oversettelse og kunngjøring på TED. I denne statusen kan du ikke gjøre endringer i konkurransen. Dersom du ønsker å gjøre endringer må du vente til konkurransen er publisert på Doffin og klikke på blyanten for å gjøre korrigeringene

95 16. Kommunikasjon og tilleggsinformasjon Under fanebladet Kommunikasjon finner du kommunikasjonsmodulen i Mercell. Tilbudsgiver har tilgang til det samme fanebladet fra sin side. Leverandør stiller spørsmål Kommunikasjonsmodulen fungerer ganske likt som et epost-program. Klikk på Ny melding, skriv inn emne og tekst, legg ved eventuelle vedlegg, og trykk send. Leverandøren velger ikke hvem han skal sende spørsmålet til. Meldingen går automatisk til de som står som ansvarlig eller mottaker på de aktuelle konkurransen

96 En lukket konvolutt indikerer at oppdragsgiver ikke har lest meldingen. Når oppdragsgiver har lest meldingen, så vil leverandøren kunne se dette under sine sendte meldinger ved at konvolutten endrer form til Holder man musepekeren over konvolutten vil tidspunktet vises i en liten popup Tilleggsinformasjon For å sikre at alle leverandører får samme informasjon, må du benytte deg av tilleggsinformasjon for å besvare eventuelle spørsmål til konkurransen. Når det legges ut ny tilleggsinformasjon, vil alle interesserte leverandører varsles om dette på e-post, og alle eventuelle nye leverandører får også tilgang til informasjonen. Marker og kopier spørsmål fra leverandør: Gå til Tilleggsinformasjon, og klikk på «Ny tilleggsinformasjon». Angi et beskrivende emne og lim inn spørsmålet og besvar under feltet «Beskrivelse». Du kan også laste opp et dokument ved å klikke på «+ Trykk her for å laste opp». Typisk eksempel kan være et særskilt spørsmål- og svardokument

97 Når du trykker «Send» får alle informasjon om at det er lagt ut ny informasjon på konkurransen

98 17. Nedlastning av tilbudsdokumenter - ZIP-fil MERK! Tilbudsdokumenter er ikke tilgjengelig for deg før tilbudsfristen har gått ut. Priser er ikke tilgjengelig før kvalifikasjonskravene er godkjent dersom du har brukt produksskjemaet i Mercell. Hvis du klikker på «ZIP-fil» i toppmenyen laster du ned alle dokumenter som ligger på konkurransen, samt foreløpig protokoll og anskaffelsesrapport, i en komprimert mappe. Meldinger fra og til leverandørene samt tilleggsinformasjon som er sendt ut blir også lastet ned i en samlet zippet mappe. Innholdet i den komprimerte mappen ser slik ut i filutforsker: I mappen «Bids» er det en mappe per leverandør, som inneholder alle dokumentene de har levert

99 18. Evaluering av tilbud Det er ikke mulig å se innholdet i tilbudene, før tilbudsfristen har utløpt. Når fristen for innlevering er ute, kan man se hvem som har levert innen fristen under fanebladet Leverandører. Man ser imidlertid ikke prisene i tilbudene enda, fordi man må sjekke om leverandørene er kvalifisert til å delta før man får sett tilbudene. Godkjenne avvisningsgrunner og kvalifikasjonskrav For å gjennomføre kvalifisering av tilbyderne bruker du funksjonen «Sammenlign tilbud» Sammenlign tilbud-funksjonen åpner seg i et eget vindu og du kommer rett inn på avvisningsgrunnene dersom du har brukt ESPD

100 Du ser leverandørenes svar under hvert enkelt krav og kan på hvert enkelt krav angi om de har svaret er i henhold til kravet, eller om det ikke er i henhold til kravet. Du kan godkjenne alle kravene ved å klikke på Aksepter alle-knappen øverst dersom du på forhånd har sjekket kravene. Vurdering endres da til «I henhold til krav» på alle kravene. Klikk på «Lagre endringer» i menyen før du går videre. Når alle krav er satt til enten «I henhold til krav» eller «Ikke i henhold til krav» og du har lagret, vil steget være markert med en grønn hake. For å gå videre til kvalifikasjonskravene klikker du på Kvalifikasjonskrav i Evaluering/Status-feltet øverst til høyre

101 Gjenta samme øvelse her slik at alle er satt til vurdering: I henhold til krav/ikke i henhold til krav. Dersom du må etterspørre dokumentasjon fra en leverandør benytter du kommunikasjonsmodulen og sender en melding direkte til den aktuelle leverandøren. Leverandøren sender dokumentasjon ved å sende det som vedlegg til svaret på meldingen. Det anbefales at all kommunikasjon går gjennom Mercell og ikke på vanlig epost. På den måte er du sikker på at kommunikasjonen er loggført i systemet, og kan enkelt overføre til ephorte Klikk på «Lagre endringer» i menyen etter at du har vurdert kvalifikasjonskravene. Gjenta oppgaven til du er ferdig med alle stegene. Godkjenne krav Her går du gjennom kravspesifikasjonen og vurderer om svarene og dokumentasjonen er godkjent. Leverandørens respons og svar på kravet ser du oppstilt ved siden av hverandre. Dersom leverandøren har lastet opp dokumentasjon vil du også finne dokumentet her. Du kan legge inn egen kommentar og velge status på samme måte som tidligere. Her setter du status på kravene; Oppfyller krav eller Dekker ikke krav. Når status er satt, lagrer du endringer for å oppdatere statusen. Når både kvalifikasjonskrav og krav er godkjent kan du gå videre med evaluering av tildelingskriteriene

102 19. Tildeling Under tildeling velger du alternativ «Leverandøren skal tildeles» eller «Leverandøren skal ikke tildeles» på hver enkelt leverandør, fyller ut en kort tildelingskommentar som blir synlig for hver enkelt tilbyder. Dersom du har valgt å ikke vise tildelingskommentarer til leverandør, laster du opp et tildelingsbrev ved å klikke på «+ Trykk her for å laste opp». Når endringer er lagretvises ikonet «Tildel konkurransen» på konkurransen. Etter at du har klikket på «Tildel konkurransen» får du opp en siste sjekk før tildelingen sendes

103 Karenstiden i antall dager kan endres ved å klikke på blyanten. Varseltrekanten indikerer at det ikke er lastet opp et tildelingsbrev eller lagt til en tildelingskommentar. Ved å holde musepekeren over varseltrekanten får du opp et tips om hva som mangler. Du kan også skrive en kommentar i feltet Begrunnelse for tildelings (Intern). Denne vil bli overført til protokollen. Når du klikker på OK vil konkurransen tildeles og det blir sendt et varsel til tilbyderne

104 20. Protokoll Protokollen finner du i toppmenyen Du kan velge bort hvilke felter du ikke ønsker å ha med i protokollen ved å ta bort haken til venstre. Klikk på overskriften for å utvide avsnittet slik at du kan legge inn kommentarer. Du kan klikke på Lagre som PDF i menyen for å se hvordan protokollen ser ut

105 21. Anskaffelsesrapport Anskaffelsesrapporten er et dokument som inneholder informasjon om alt som har skjedd i konkurransen. Enhetspriser, kommunikasjon og alle tilbudsdata er inkludert, og dokumentet er derfor ikke offentlig. Utdrag av rapporten:

106 22. Plass til egne notater

107 Dokumenttype: Revideres av: Versjon: Prosedyre Strømberg Solveig 5.0 Dokumentansvarlig: Godkjent dato: Olsen Egil Ansvar fra bestilling til mottak av faktura Innhold Leverandørfakturaer...1 Mottak av inngående fakturaer i Fredrikstad kommune...1 Ansvar for en faktura...1 Formkrav til faktura:...2 Krav til merking...2 Innkjøpsordre koblet mot faktura...3 Behandle fakturaer og momskomp...3 Leverandørfakturaer Mottak av inngående fakturaer i Fredrikstad kommune Fredrikstad kommune har et felles fakturamottak og fakturaene mottas på følgende måter: 1. Fullelektronisk faktura (EHF) Fredrikstad kommune stiller dette som krav til sine leverandører. Faktura sendes som fil (xml) fra leverandørens fakturasystem, via aksesspunkt til vårt fakturamottak. Adressen til oss er vårt organisasjonsnummer Faktura pr epost Faktura sendes som bildefil (pdf) til regnskap@fredrikstad.kommune.no eller postmottak@fredrikstad.kommune.no 3. Faktura pr post Faktura sendes som papirfaktura til: Fredrikstad kommune, postboks 1405, 1602 Fredrikstad Alle avtaleforhold skal inneholde krav om at e-faktura i EHF-standard skal benyttes. Utenfor avtaleforhold må bestiller selv informere leverandør om at faktura skal sendes som e-faktura i EHF-standardformat. Etter mottak av faktura, sender fakturamottaket v/regnskapsavdelingen fakturaene til virksomhetene for videre behandling. Faktura pr. e-post og post er unntaksbestemmelser. Ansvar for en faktura Fakturamottak i sentral økonomiavdeling skal kontrollere at: Faktura er stilet til Fredrikstad kommune Øvrige formkrav er oppfylt (mottakskontroll) Tittel: Ansvar fra bestilling til mottak av faktura Utskriftsdato: Side 1 av 3 107

108 Dersom faktura har mangler, men likevel registreres og videresendes i fakturasystemet, må det lages notat om dette i fakturasystemet. Se også eksempler. Virksomheten er ansvarlig for sine fakturaer og må kontrollere at: formkrav til faktura er oppfylt faktura stemmer overens med bestilling faktura er tilstrekkelig dokumentert faktura er godt nok merket Er det uklarheter rundt en faktura, er det virksomheten som har ansvar for å ta henvendelsen til leverandøren for avklaring. Eksempler: 1. Er faktura stilet til Fredrikstad kommune, men skulle vært stilet til en bruker: - kontakt leverandør og be om kreditnota samt ny faktura til bruker. - faktura skal fortsatt ligge hos bestiller/konterer inntil kreditnota er mottatt. 2. Vårt fakturamottak v/regnskapsavdelingen har sendt faktura til feil mottaker: - dersom faktura skulle vært sendt til en annen virksomhet og dere kjenner hvem som er mottaker av fakturaen, benytt funksjonen «send sidelengs» i fakturabehandling. 3. Faktura mangler informasjon/er ufullstendig: - mottaker av fakturaen på virksomheten kontakter leverandør og ber om ny faktura. - faktura blir liggende hos bestiller/konterer inntil kreditnota og ny faktura er mottatt. 4. Faktura skal slettes på grunn av feil på faktura: - faktura sendes tilbake til fakturamottaket v/regnskapsavdelingen med beskjed/notat om sletting. 5. Faktura er sendt fra leverandør og direkte til virksomhet: - alle fakturaer skal sendes til vår felles fakturamottak v/regnskapsavdelingen - mottaker av fakturaen på virksomheten kontakter leverandør og ber de endre til vår felles fakturaadresse -Mottaker sender faktura internt til regnskap@fredrikstad.kommune.no Formkrav til faktura: Faktura må være stilet til Fredrikstad kommune Leverandørens organisasjonsnummer må foreligge MVA må være plassert bak organisasjonsnummeret (eks MVA) Teksten FORETAKSREGISTERET må være påført faktura. Unntak er enkeltmannsforetak. MVA må være spesifisert Fakturadato Skal spesifisere hvilke tjenester eller varer som er levert, hvis ikke må mottaker på virksomheten sørge for å legge inn vedlegg på faktura (eksempel pakkseddel, tilbud) Tidspunkt og sted for levering av varen eller tjenesten må angis Viser til bokføringsforskriftens paragraf 5-1, Bokføringsforskriften 5-1, Lovdata.no Tittel: Ansvar fra bestilling til mottak av faktura Utskriftsdato: Side 2 av 3 108

109 Krav til merking Når innkjøpssystemet benyttes, skal faktura minimum merkes med: Vår felles fakturaadresse: Fredrikstad kommune, PB 1405, 1602 Fredrikstad Vårt innkjøpsordrenummer (18xxxxxx) I EHF-standard skal ordrenummer oppgis i eget felt for kundens ordrenummer. Faktura, hvor innkjøpssystemet ikke er benyttet, skal minimum merkes med: Vår felles fakturaadresse: Fredrikstad kommune, PB 1405, 1602 Fredrikstad Informasjon som gjør det enkelt for fakturamottak å identifisere mottaker og bestiller internt i kommunen (virksomhet, prosjekt ol.). Slik merking kan være: - Bestiller av varen/tjenesten (Virksomhetsnavn, prosjekt, kontaktperson el.) - Ansvarsnummer Generelle betalingsbetingelse er netto pr. 30 dager, hvis ikke annet er avtalt Innkjøpsordre koblet mot faktura Det er krav om å utføre elektronisk varemottak når det er gjennomført en bestilling via innkjøpssystemet. Da vil ordre bli koblet til faktura og det blir utført automatisk avvikskontroll. Ved avvik/differanse, vil faktura bli sendt ut til innkjøper/konterer - alternativt til attesterer - for behandling av differansen. Det må da tas stilling til årsaken til differansen og håndtere denne. Rutinen for håndtering av differanser finner du her Behandle fakturaer og momskomp En god og effektiv fakturabehandling er avgjørende for føring av kostnader i regnskapet i riktig periode og refusjon/kompensasjon av MVA. Fakturadato er utgangspunkt for å beregne foreldelse og tap av moms-kompensasjon fra staten og fristen er kort. Foreldelsesfristen er sammenfallende med innleveringsfristen for neste kompensasjonsoppgave. Tvangsmulkt/tilleggsskatt vil fra erstatte dagens forsinkelsesavgift eller forhøyet MVA og er en strengere reaksjon. Dette kan ilegges dersom vi krever mva-kompensasjon på feil grunnlag som innebærer skattemessig-/ avgiftsmessige fordeler. Ta kontakt med Økonomi- og regnskapsavdelingen dersom det er tvil om anskaffelsen kvalifiserer for mvakomp. Husk også foreldelsesfristen. Tittel: Ansvar fra bestilling til mottak av faktura Utskriftsdato: Side 3 av 3 109

110 Dokumenttype: Revideres av: Versjon: Reglement Strømberg Solveig 4.0 Dokumentansvarlig: Godkjent dato: Olsen Egil Attestasjon og anvisning i kommunens systemer Rollene attesterer og anviser tildeles den ansatte med bakgrunn i skjema for delegering av attestasjon- og anvisningsmyndighet. Dette ivaretas på følgende måter i kommunens systemer: Visma enterprise fakturabehandling: - Faktura blir sendt til attestasjon og anvisning via saksgang i verktøyet Visma enterprise fakturabehandling web. - Ansvar og roller tildeles via fullmakter og vedlikeholdes i verktøyet Visma enterprise brukeradmin. - Den ansatte skal kun inneha en av rollene - attesterer eller anviser - ikke begge deler, jamfør delegeringsreglementet. Visma enterprise ehandel: - Elektroniske innkjøp gjøres i verktøyet Visma enterprise ehandel web (innkjøpssystemet). - Det opprettes handlevogner av innkjøper som har konterings- og attestasjonsmyndighet. Handlevognene sendes videre til godkjenner/overordnet som har anvisningsmyndighet. Deretter genereres det en ordre som blir sendt elektronisk til leverandør. - Når varene mottas, må elektronisk varemottak utføres av innkjøper (samme som attestasjon av innkjøp). - Når ordre og faktura stemmer overens og varemottak er utført (attestert), blir faktura overført til økonomi for utbetaling. - Hvis faktura ikke stemmer overens med ordre, vil faktura sendes ut på ny saksgang i fakturabehandling. - Ansvar og roller tildeles via fullmakter (tekst eller link) og vedlikeholdes i verktøyet Visma enterprise brukeradmin. Visma.net Expense (reiseregning): - Reiseregning blir sendt til attestasjon og anvisning via saksgang i modulen Visma travel. Tittel: Attestasjon og anvisning i kommunens systemer Utskriftsdato: Side 1 av 2 110

111 - Ansvar og roller tildeles via fullmakter og vedlikeholdes i modulen Visma.net Expense/organisasjonsstruktur - Den ansatte skal kun inneha en av rollene attesterer eller anviser ikke begge deler, jamfør delegeringsreglementet. Tittel: Attestasjon og anvisning i kommunens systemer Utskriftsdato: Side 2 av 2 111

112 Dokumenttype: Revideres av: Versjon: Prosedyre Strømberg Solveig 6.0 Dokumentansvarlig: Godkjent dato: Olsen Egil Attestasjons- og anvisningsreglement INNHOLDSFORTEGNELSE: 1. ATTESTASJONS- OG ANVISNINGSREGLEMENT Delegering av attestasjons- og anvisningsmyndighet Avgrensing av attestasjons- og anvisningsmyndigheten Attestasjon Anvisning Brudd på attestasjons- og anvisningsreglementet Elektronisk attestasjon og anvisning...3 Skjema 1 - Delegering av attestasjonsmyndighet...4 Skjema 2 - Delegering av anvisningsmyndighet...4 Skjema 3 - Opphør av anvisningsmyndighet....4 Skjema 4 - Opphør av attestasjonsmyndighet ATTESTASJONS- OG ANVISNINGSREGLEMENT 1.1 Delegering av attestasjons- og anvisningsmyndighet Rådmannen tildeles attestasjons- og anvisningsmyndighet for Fredrikstad kommune. Denne myndigheten delegeres videre til seksjonene ved kommunaldirektør. Kommunaldirektøren delegerer videre i henhold til myndighet i organisasjonen, jamfør Delegeringsreglementet vedtatt av Bystyret sak 121/ Kommunaldirektør, etatsjef og virksomhetsleder kan overføre attestasjonsmyndighet til ansatte i egen seksjon eller virksomhet Kommunaldirektør, etatsjef og virksomhetsleder kan overføre anvisningsmyndighet til nærmeste underordnede i virksomheten, eller en stabsmedarbeider for kommunaldirektør, etatsjef og virksomhetsleder Det skal til enhver tid foreligge en ajourført oversikt på hver virksomhet og på seksjonen over hvem som har attestasjons- og anvisningsmyndighet der hvor dette er delegert Anvisning og attestasjon er alltid gitt for et eller flere bestemte ansvar, jfr. punkt og Det kan ikke gis attestasjons- og anvisningsmyndighet på samme ansvar. Tittel: Attestasjons- og anvisningsreglement Utskriftsdato: Side 1 av 4 112

113 1.2 Avgrensing av attestasjons- og anvisningsmyndigheten Anvisningsmyndighet gjelder ikke ved anvisning av egne regninger. I slike tilfeller skal anvisningen foretas av overordnet anvisningsmyndighet Anvisning og registrering skal ikke foretas av samme person Kommunale tjenestemenn som etter forvaltningslovens 6 er inhabile, skal ikke attestere og/eller anvise for hverandre Anvisningsberettigede skal ikke kunne anvise fra en post i kommunens regnskap til en konto utenfor kommunens regnskaper som vedkommende disponerer. I Forvaltningslovens 6 (habilitetskrav) heter det følgende: En offentlig tjenestemann er ugild til å tilrettelegge grunnlaget for en avgjørelse eller til å treffe avgjørelse i en forvaltningssak a) når han selv er part i saken: b) når han er i slekt eller svogerskap med en part i opp- eller ned-stigende linje eller i sidelinje så nær som søsken: c) når han er eller har vært gift med eller er forlovet med eller er fosterfar, fostermor eller fosterbarn til en part: d) når han er verge eller fullmektig for en part i saken eller har vært verge eller fullmektig for en part etter at saken begynte; e) når han leder eller har ledende stilling i, eller er medlem av styret eller bedriftsforsamling for. 1. et samvirkeforetak, eller en forening, sparebank eller stiftelse som er part i saken, eller 2. et selskap som er part i saken. Dette gjelder likevel ikke for person som utfører tjeneste eller arbeid for et selskap som er fullt ut offentlig eid og dette selskapet, alene eller sammen med andre tilsvarende selskaper eller det offentlige, fullt ut eier selskapet som er part i saken. 1.3 Attestasjon Delegert attestasjonsmyndighet skjer under tilsyn av virksomhetsleder. Virksomhetsleder skal godkjenne delegert attestasjonsmyndighet, og underskriftsprøve oversendes Fredrikstad byarkiv Før et bilag anvises skal det være attestert og kontrollert av den/de personer som til enhver tid har ansvaret for dette Den/de attestasjonsberettigede skal påse at: For innkjøp og faktura: - levering er i samsvar med bestilling Tittel: Attestasjons- og anvisningsreglement Utskriftsdato: Side 2 av 4 113

114 - varemottak er i overensstemmelse med fakturaen, og varene er levert til riktig adresse - pris og betalingsbetingelser er i henhold til innkjøpsavtale, og utregninger er kontrollert - at budsjettår, kontonummer og andre data er riktig påført For lønnsområdet: - at reiseregning er utfylt i henhold til reiseregulativet for Fredrikstad kommune Dersom ikke alle betingelsene for attestasjon foreligger, skal attestasjon nektes. 1.4 Anvisning Delegert anvisningsmyndighet skjer under tilsyn av Kommunaldirektør, etatsjef og virksomhetsleder. Kommunaldirektør, etatsjef og virksomhetsleder skal godkjenne delegert anvisningsmyndighet, og underskriftsprøve oversendes Fredrikstad byarkiv Anvisning skal foretas før utbetaling finner sted Den anvisningsberettigede skal ved anvisning påse at: - disponeringen av budsjettmidler er formelt, reelt og økonomisk i orden - attestasjon og kontroll er foretatt av de personer som er tillagt denne oppgaven - anvisningen er datert Dersom ikke alle betingelsene for anvisning foreligger, skal anvisning nektes Den anvisningsberettigede skal til enhver tid sørge for å ha den nødvendige oversikten over disponeringen av budsjettet blant annet på grunnlag av regnskapsog budsjettrapporter og kontrakter som til enhver tid er tilgjengelig Ved opphør av anvisningsmyndighet skal vedlagte skjema 3 fylles ut og sendes til Fredrikstad byarkiv. 1.5 Brudd på attestasjons- og anvisningsreglementet Brudd på attestasjons- og anvisningsreglementet vil føre til inndragning av attestasjons- eller anvisningsmyndigheten for kortere eller lengre tidsrom, i henhold til rådmannens eller kommunaldirektørens, etatsjefens vurdering. 1.6 Elektronisk attestasjon og anvisning Attestasjon og anvisning gjennomføres elektronisk og er ivaretatt i de ulike fagsystemene i Fredrikstad kommune. Tittel: Attestasjons- og anvisningsreglement Utskriftsdato: Side 3 av 4 114

115 Visma enterprise fakturabehandling: - Faktura blir sendt til attestasjon og anvisning via saksgang i verktøyet Visma enterprise fakturabehandling web. - Ansvar og roller tildeles via fullmakter og vedlikeholdes i verktøyet Visma enterprise brukeradmin. Visma enterprise ehandel: - Elektroniske innkjøp gjøres i verktøyet Visma enterprise ehandel web (innkjøpssystemet). - Det opprettes handlevogner av innkjøper som har konterings- og attestasjonsmyndighet. Handlevognene sendes videre til godkjenner/overordnet som har anvisningsmyndighet. Deretter genereres det en ordre som blir sendt elektronisk til leverandør. - Når varene mottas, må elektronisk varemottak utføres av innkjøper (samme som attestasjon av innkjøp). - Når ordre og faktura stemmer overens og varemottak er utført (attestert), blir faktura overført til økonomi for utbetaling. - Hvis faktura ikke stemmer overens med ordre, vil faktura sendes ut på ny saksgang i fakturabehandling. - Ansvar og roller tildeles via fullmakter (tekst eller link) og vedlikeholdes i verktøyet Visma enterprise brukeradmin. Visma.net Expense (reiseregning): - Reiseregning blir sendt til attestasjon og anvisning via saksgang i modulen Visma travel. - Ansvar og roller tildeles via fullmakter og vedlikeholdes i modulen Visma.net Expense/organisasjonsstruktur Skjemaer for attestasjon og anvisning skal benyttes. Skjema 1 - Delegering av attestasjonsmyndighet Skjema 2 - Delegering av anvisningsmyndighet Skjema 3 - Opphør av anvisningsmyndighet. Skjema 4 - Opphør av attestasjonsmyndighet. Tittel: Attestasjons- og anvisningsreglement Utskriftsdato: Side 4 av 4 115

116 ØSTFOLD KONTROLLUTVALGSSEKRETARIAT Saksnr.: 2020/59 Dokumentnr.: 1 Løpenr.: 17076/2020 Klassering: Saksbehandler: Anita Dahl Aannerød Møtebok Behandlet av Møtedato Utvalgssaksnr. Kontrollutvalget Fredrikstad /5 Prosjektplan eierskapskontroll FEAS Sekretariatets innstilling Sekretariatet anbefaler kontrollutvalget å fatte slikt vedtak: 1. Prosjektplan «Eierskapskontroll av Fredrikstad energi AS» tas til orientering og godkjennes. Fredrikstad, Vedlegg Prosjektplan «Eierskapskontroll Fredrikstad energi AS», Andre saksdokumenter (ikke vedlagt) Bystyresak den 6.desember Interpellasjon KU-sak 19/67, den (Plan for eierskapskontroll ) Saksopplysninger Kontrollutvalget behandlet sin plan for eierskapskontroll i møte den 27. november Det fremgår av planen at det skal gjennomføres en eierskapskontroll av Fredrikstad energi AS (FEAS). Planen er i skrivende stund ikke behandlet av bystyret. Imidlertid behandlet bystyret en interpellasjon som omhandlet eierskapskontroll av FEAS i sitt møte den 6.desember 2019, med følgende vedtak: «Bystyret ber kontrollutvalget om å inkludere FEAS i utarbeidelse av ny overordnet analyse og plan for eierskapskontroll Det søkes samarbeid med kontrollutvalget i Oslo kommune.» Det framgår av revisjonens plan hva som er bakgrunnen for dette prosjektet. Revisjonen har gjengitt de viktigste poengene i sin prosjektplan (jf. pkt. 1«Bakgrunnen for prosjektet»). Revisjonen vil ved denne eierskapskontrollen arbeide etter følgende problemstilling: Utøves kommunens eierskap i samsvar med aktuelle lovbestemmelser og etablerte normer for god eierstyring? Revisjonen antar at det vil gå med 80 timer +/- 10 % til dette prosjektet. Rapporten vil være klar til behandling i aprilmøtet. 116

117 Vurdering Sekretariatet finner problemstillingen relevant til eierskapskontroll. Samlet sett anser vi at metodevalget vil gi en tilfredsstillende pålitelighet (nøyaktighet) og gyldighet 1 til å trekke konklusjoner om temaet. Ellers har vi ingen kommentarer til metode og gjennomføring. Vi anbefaler at prosjektplanen tas til orientering og godkjennes. 1 metodene måler hva de er tiltenkt å måle 117

118 Eierskapskontroll Fredrikstad Energi AS Fredrikstad kommune Prosjektplan Rolvsøy 23. januar

119 1. BAKGRUNN FOR PROSJEKTET I henhold til kommuneloven 23-4, skal det gjennomføres eierskapskontroll. Dette innebærer å kontrollere om den som utøver kommunens eierinteresser, gjør dette i samsvar med lover og forskrifter, bystyrets vedtak og anerkjente prinsipper for eierstyring. Kontrollutvalget skal minst én gang i valgperioden, og senest innen utgangen av året etter at bystyret er konstituert, utarbeide en plan som viser på hvilke eierskapskontroller som skal gjennomføres. Planen skal baseres på en risiko- og vesentlighetsvurdering av kommunens eierskap med hensikt å finne ut hvor det er størst behov for slik kontroll. Plan for eierskapskontroll skal behandles i bystyret 6. februar Kontrollutvalget har innstilt på at det skal gjennomføres en eierskapskontroll av Fredrikstad Energi AS (FEAS). Kontrollutvalget ber revisjonen starte eierskapskontrollen av Fredrikstad Energi AS umiddelbart etter bystyrevedtak. Prosjektplanen legges derfor i utgangspunktet frem med forbehold om vedtak i bystyret. I dette tilfelle har ordfører i forbindelse med interpellasjon 1 i bystyremøtet 6. desember 2019 gitt tydelig uttrykk for at revisjonen kan starte eierskapskontrollen umiddelbart. 2. PREMISSER FOR PROSJEKTARBEIDET Kontrollutvalgets vedtak legges til grunn for revisjonens videre arbeide med prosjektet. Revisjonen delegeres myndighet til å foreta mindre endringer i problemstillinger og avgrensninger hvis det oppstår uforutsette forhold som har betydning for prosjektet. Større endringer tas med sekretariatet som avklarer disse med kontrollutvalget. Revisjonen henter inn dokumentasjon fra selskapet med hjemmel i kommunelovens bestemmelser om innsyn i 23-6, 1.ledd. Utkast til rapport sendes til uttalelse både til selskapet og til den som utøver kommunens eierfunksjon (forskrift om kontrollutvalg og revisjon 14). Rapporten oversendes kontrollutvalget etter vanlige rutiner. 3. PROBLEMSTILLINGER OG AVGRENSNINGER Eierskapskontrollen vil ta utgangspunkt i følgende problemstilling: Utøves kommunens eierskap i samsvar med aktuelle lovbestemmelser og etablerte normer for god eierstyring? Kjerneaktiviteten i eierskapskontrollen er å vurdere kommunens praksis for eierstyring opp mot lover, forskrifter og kommunale vedtak. Vurderinger av selskapets drift vil kreve en forvaltningsrevisjon. Undersøkelser av eiers kunnskap og oppfatning av selskapets drift, samt eiers tiltak for å sikre selskapets drift, er imidlertid en del av eierskapskontrollen. Ved gjennomføring av eierskapskontrollen vil vi ta utgangspunkt i føringer i Plan for eierskapskontroll og interpellasjonen i bystyret. Dersom det dukker opp forhold som indikerer at det bør gjennomføres en forvaltningsrevisjon, vil vi orientere kontrollutvalget om dette. Fredrikstad energi er også indirekte eid av Oslo kommune. Ved en eventuell forvaltningsrevisjon vil vi derfor ta kontakt med kontrollutvalget i Oslo for å avklare deres eventuelle rolle i en slik undersøkelse. 1 Sak 178/19, Interpellasjon - anmodning om at kontrollutvalget gjennomfører kontroll av Fredrikstad Energi AS med underselskaper, samt Fredrikstad kommunes forvaltning av eierskap i selskapet. østfold kommunerevisjon iks 2 119

120 4. REVISJONSKRITERIER Revisjonskriterier, også kalt «foretrukket praksis», er en samlebetegnelse for de krav eller forventninger som brukes som grunnlag for å vurdere kommunens virksomhet. Revisjonskriterier fastsettes normalt med basis i en eller flere autoritative kilder og ut fra trinnhøydeprinsippet 2. Også kommunens egne retningslinjer kan utgjøre revisjonskriterier. Revisjonskriteriene er et viktig grunnlag for å kunne dokumentere avvik/svakheter. Kriteriene holdt sammen med faktagrunnlaget danner basis for de analyser og vurderinger som foretas, og de konklusjoner som trekkes. I dette prosjektet vil vi ta utgangspunkt i følgende revisjonskriterier: Lov om kommuner og fylkeskommuner (kommuneloven), LOV Forskrift om kontrollutvalg og revisjon, FOR Lov om aksjeselskaper (aksjeloven), LOV «Anbefalinger om eierstyring, selskapsledelse og kontroll», KS 3 november 2015 Politiske vedtak 5. METODISK TILNÆRMING OG GJENNOMFØRING Databehov og hvordan forvaltningsrevisjonen tenkes gjennomført (metode), fremgår av analyseskjemaet nedenfor: Problemstillinger Revisjons-kriterier Databehov Innhentings-/analyse metode Problemstilling 1 Utøves kommunens eierskap i samsvar med aktuelle lovbestemmelser og etablerte normer for god eierstyring? Kommuneloven med forskrifter Aksjeloven Anbefalinger fra KS Politiske vedtak Informasjon om kommunens utøvelse av eierstyring Informasjon fra selskapet Dokumentanalyse Intervjuer 6. PROSJEKTORGANISERING, RESSURSBEHOV OG FREMDRIFTSPLAN Prosjektdeltakere Prosjektperiode Antall timer Vedtaksorgan: Fremdrift Lene Brudal - oppdragsansvarlig revisor Madeleine Strandin - revisor Februar mai 80 timer +/- 10 % timer Kontrollutvalget i Fredrikstad kommune Ferdig Når prosjektplan er godkjent i KU 12. februar 2020 Når rapport er sendt til ØKUS April Trinnhøydeprinsippet (også kalt Lex Superior) er et rettslig prinsipp som innebærer at rettsregler av høyere rang går foran regler av lavere rang dersom det er motstrid mellom reglene. 3 Kommunenes sentralforbund østfold kommunerevisjon iks 3 120

121 ØSTFOLD KONTROLLUTVALGSSEKRETARIAT Saksnr.: 2020/58 Dokumentnr.: 2 Løpenr.: 17071/2020 Klassering: Saksbehandler: Anita Dahl Aannerød Møtebok Behandlet av Møtedato Utvalgssaksnr. Kontrollutvalget Fredrikstad /6 Prosjektplan forvaltningsrevisjonsprosjekt "Barnevern" Sekretariatets innstilling Sekretariatet anbefaler kontrollutvalget å fatte slikt vedtak: 1. Prosjektplan «Barnevern fosterhjem og oppfølging av tidligere forvaltningsrevisjonsrapport» godkjennes. Fredrikstad, Vedlegg Prosjektplan «Barnevern fosterhjem og oppfølging av tidligere forvaltningsrevisjonsrapport», Andre saksdokumenter (ikke vedlagt) KU-sak 19/68, den (Forvaltningsrevisjonsplan ) Saksopplysninger Det framgår av forvaltningsrevisjonsplanen hva som er bakgrunnen for dette prosjektet. Revisjonen har gjengitt de viktigste poengene i sin prosjektplan (jf. pkt. 1«Bakgrunnen for prosjektet»). På grunnlag av dette, foreslår revisjonen tre hovedproblemstillinger: 1. Har Fredrikstad kommune iverksatt tiltak for å følge opp de svakhetene som ble avdekket i forvaltningsrevisjonsprosjektet fra ? 2. Sørger kommunen for at barn som bor i fosterhjem får den oppfølgingen de har krav på? 3. Blir barneverntjenestens arbeid med oppfølging av barn i fosterhjem i tilstrekkelig grad planlagt, kontrollert, og ved behov korrigert? Revisjonen antar at det vil gå med 400 timer +/- 10 % til dette prosjektet. Rapporten vil være klar til behandling i sommer/høst Plan for forvaltningsrevisjon er i skrivende stund ikke behandlet i bystyret. Det tas derfor forbehold om endringer i planen ved bystyrevedtak. 121

122 Vurdering Sekretariatet finner problemstillingene relevante i forhold til omtalen i forvaltningsrevisjonsplanen. Planlagt ressursbruk er noe høyere enn et gjennomsnittlig forvaltningsrevisjonsprosjekt. Dette fordi prosjektet både omhandler en oppfølging av et tidligere prosjekt, samt et nytt område. Samlet sett anser vi at metodevalget vil gi en tilfredsstillende pålitelighet (nøyaktighet) og gyldighet 1 til å trekke konklusjoner om temaet. Ellers har vi ingen kommentarer til metode og gjennomføring. Vi anbefaler at prosjektplanen godkjennes. 1 metodene måler hva de er tiltenkt å måle 122

123 Barnevern fosterhjem og oppfølging av tidligere forvaltningsrevisjonsrapport Fredrikstad kommune Prosjektplan Rolvsøy 24. januar

124 1. BAKGRUNN FOR PROSJEKTET Østfold kommunerevisjon IKS utfører forvaltningsrevisjon på oppdrag fra kontrollutvalget. Forvaltningsrevisjon er en lovpålagt oppgave for kommunene, og er kontrollutvalgets ansvarsområde jf. kommuneloven 23-2 (1c). Forvaltningsrevisjon er systematiske vurderinger av økonomi, produktivitet, regeletterlevelse, måloppnåelse og virkninger fra kommunestyrets eller fylkestingets vedtak. Plan for forvaltningsrevisjon skal behandles i bystyret 6. februar Kontrollutvalget har innstilt på at oppfølging av tidligere forvaltningsrevisjonsprosjekt, samt en ny revisjon av kommunens oppfølging ved fosterhjemsområdet er neste oppdrag for revisjonen. Prosjektplanen legges frem med forbehold om vedtak i bystyret. Revisjonen vil gjennomføre oppfølgingen av tidligere forvaltningsrevisjonsprosjekt og ny revisjon av kommunens oppfølging ved fosterhjemsområdet parallelt. I risiko- og vesentlighetsvurdering gjennomført i 2019 skriver vi følgende om risiko på barnevernområdet: «Barnevernet skal gi barn, unge og familier hjelp og støtte når det er vanskelig hjemme eller barnet av andre grunner har behov for hjelp fra barnevernet. Barnevernet skal sikre at barn og unge som lever under forhold som kan skade deres helse og utvikling, får hjelp og omsorg til rett tid. I tillegg skal barnevernet bidra til at barn og unge får trygge oppvekstvilkår. Fylkesmannen beskriver i sin årsrapport for 2018 at det har vært en generell økning i antall barnevernsaker i fylket og at flere kommuner uttrykker bekymring for om mangler i kommunenes generelle forebyggende tjenester medfører et økt press på barneverntjenesten. Fylkesmannen uttrykte bekymring for at flere kommuner fortsatt har mangler når det gjelder å vurdere risiko for svikt, og å ha gode rutiner for å forebygge og fange opp mangler i oppfølgingen av det enkelte barn. Når undersøkelser blir liggende, eller tiltak ikke blir tilstrekkelig evaluert medfører det en fare for at barn ikke får den hjelpen de trenger. Dette utgjør en risiko for skjevutvikling og utviklingsskader. Fredrikstad kommune henla i ,1 % av alle innkomne meldinger til barnevernet. I 2018 var tallet 23,9 %. Sammenlignet med landet for øvrig (uten Oslo) er henleggelsesprosenten vesentlig høyere i Fredrikstad. Sammenlignet med kommuner i geografisk nærhet et det også en høyere prosentandel henleggelser i kommunen. Tall fra Kostra viser også at barneverntjenesten i Fredrikstad har flere fristoverskridelser av saker med tre måneders saksbehandlingsfrist enn sammenlignet med landet for øvrig (uten Oslo). Både i møte med kontrollutvalget, og i spørreundersøkelsen til administrativt ansatte og politikere i Fredrikstad kommune ble barnevern trukket frem som et område med stor fare for svikt. På generelt spørsmål om barnevern ble det målt i gjennomsnitt 2,45 av 3, på oppfølging av fosterhjem var gjennomsnittet 2,44 og på ettervern var målingen 2,44 på en skala fra 1 til 3. Revisjonen anbefaler forvaltningsrevisjon knyttet til en vurdering rundt andelen henlagte meldinger og overholdelse av saksbehandlingsfrister. Det anbefales også en revisjon på oppfølging av fosterhjem da det kan være en utfordring å sikre god oppfølging av fosterhjemmene, samt gi fosterhjemmene tilstrekkelig opplæring og veiledning. Etter revisjonens oppfatning kan generelt høyt arbeidspress medføre en risiko for at andre oppgaver som eksempelvis oppfølging av fosterhjem og arbeid med ettervern nedprioriteres.» Kontrollutvalget ønsket at prosjektet skulle gjennomføres på fosterhjemsområdet, jf. vedtak i kontrollutvalget 27. november, sak 19/68. Tidligere forvaltningsrevisjonsprosjekt på området ble gjennomført i Tema for denne revisjonen var internkontroll og oppfølging av omsorgsplasserte barn og oppfølging av atferdsplasserte barn. Revisjonen avdekket forbedringsområder på flere felt. Revisjonen anbefalte at barneverntjenesten iverksatte nødvendige tiltak for å møte avvikene. Rådmannen skrev i sin høringsuttalelse at det anses nødvendig å iverksette tiltak for å rette opp manglene som er påpekt. Rådmannen listet opp flere tiltak. Det ble satt frister for oppfølging og nærmeste leder, barnevernleder eller ledergruppen samlet ble satt som ansvarlig for gjennomføring av de ulike tiltakene. Kontrollutvalget behandlet rapporten i sitt møte 6. desember 2017, sak 17/56. I møtet ba kontrollutvalget rådmannen om å rapportere om sin oppfølging til oppvekstutvalget innen Kontrollutvalget viste spesielt til rådmannens foreslåtte tiltak. østfold kommunerevisjon iks 2 124

125 2. PREMISSER FOR PROSJEKTARBEIDET Kontrollutvalgets vedtak legges til grunn for revisjonens videre arbeide med prosjektet. Revisjonen delegeres myndighet til å foreta mindre endringer i problemstillinger og avgrensninger hvis det oppstår uforutsette forhold som har betydning for prosjektet. Større endringer tas med sekretariatet som avklarer disse med kontrollutvalget. Rapporten oversendes kontrollutvalget etter vanlige rutiner. 3. PROBLEMSTILLINGER OG AVGRENSNINGER Som nevnt skal revisjonen omfatte både en oppfølging av tidligere revisjon og en ny revisjon av fosterhjemsområdet. 1. Har Fredrikstad kommune iverksatt tiltak for å følge opp de svakhetene som ble avdekket i forvaltningsrevisjonsprosjektet fra ? Forvaltningsrevisjonsrapporten avdekket svakheter innenfor flere områder, herunder enkelte internkontrollelementer, bruk av individuell plan og oppfølging av atferdsplasserte barn. I tillegg vil vi innenfor fosterhjemsområdet se nærmere på eventuelle tiltak knyttet til arbeid med omsorgsplaner, gjennomføring av fosterhjemsbesøk og tilsynsbesøk, journalføring og oppfølging av biologiske foreldre. Revisjonen vil ta utgangspunkt i rådmannens egen tiltaksplan og undersøke hvilke tiltak som er iverksatt. Revisjonen vil ikke undersøke effekten av tiltakene på alle områdene. Forbedringsområdene innenfor fosterhjemsområdet vil imidlertid revideres på nytt i problemstilling 2 og Sørger kommunen for at barn som bor i fosterhjem får den oppfølgingen de har krav på? Revisjonen vil blant annet se nærmere på barneverntjenestens arbeid med omsorgsplaner, gjennomføring av fosterhjemsbesøk og tilsynsbesøk, og journalføring av samtaler med barn og barnevernfaglige vurderinger. I tillegg vil revisjonen undersøke om det er lagt til rette for at barn som bor i fosterhjem får medvirke i egen sak, om fosterforeldre får nødvendig råd og veiledning, samt barneverntjenestens oppfølging av biologiske foreldre. Barnevernet er organisert i fem fagavdelinger: Undersøkelser Hjelpetiltak Ungdomsavdeling Omsorgsavdeling Enslige mindreårige Ansvar for oppfølgingen av omsorgsplasserte barn i fosterhjem hører i utgangspunktet under omsorgsavdelingen. Det er imidlertid også barn som er frivillig plassert i fosterhjem, samt at flere enslige mindreårige også bor i fosterhjem. Oppfølgingen av disse barna hører under andre avdelinger. I oppstartsmøte med administrasjonen 20. januar informerer barneverntjenesten om at det også er flere barn som bor i beredskapshjem og at flere blir boende der i 1-2 år på grunn av vanskeligheter med å rekruttere fosterhjem. Administrasjonen mener det vil være hensiktsmessig om revisjonen fanger opp oppfølgingen av alle fosterhjemsbarna, herunder også barn i beredskapshjem. 3. Blir barneverntjenestens arbeid med oppfølging av barn i fosterhjem i tilstrekkelig grad planlagt, kontrollert, og ved behov korrigert? Revisjonen vil ta utgangspunkt i forskrift om internkontroll for barneverntjenesten og undersøke om tjenesten har etablert en internkontroll for arbeidet på fosterhjemsområdet. østfold kommunerevisjon iks 3 125

126 4. REVISJONSKRITERIER Revisjonskriterier, også kalt «foretrukket praksis», er en samlebetegnelse for de krav eller forventninger som brukes som grunnlag for å vurdere kommunens virksomhet. Revisjonskriterier fastsettes normalt med basis i en eller flere autoritative kilder og ut fra trinnhøydeprinsippet 1. Også kommunens egne retningslinjer kan utgjøre revisjonskriterier. Revisjonskriteriene er et viktig grunnlag for å kunne dokumentere avvik/svakheter. Kriteriene holdt sammen med faktagrunnlaget danner basis for de analyser og vurderinger som foretas, og de konklusjoner som trekkes. I dette prosjektet vil vi ta utgangspunkt i følgende revisjonskriterier: Barnevernloven med forskrifter, veiledere, forarbeider, utredninger osv Tidligere forvaltningsrevisjonsrapport 5. METODISK TILNÆRMING OG GJENNOMFØRING Databehov og hvordan forvaltningsrevisjonen tenkes gjennomført (metode), fremgår av analyseskjemaet nedenfor: Problemstillinger Revisjonskriterier Databehov Innhentings-/analyse metode Problemstilling 1 Har Fredrikstad kommune iverksatt tiltak for å følge opp de svakhetene som ble avdekket i forvaltningsrevisjonsprosjektet fra ? Grunnlag for anbefalinger i forvaltningsrevisjonsprosjekt , samt rådmannens tiltak (Barnevernloven med forskrifter, veiledere, forarbeider og utredninger osv.) Informasjon om kommunens rutiner og praksis. Informasjon om kommunens oppfølging av tidligere revisjon. Dokumentanalyse Intervjuer Problemstilling 2 Sørger kommunen for at barn som bor i fosterhjem får den oppfølgingen de har krav på? Barnevernloven med forskrifter, veiledere, forarbeider og utredninger osv. Informasjon om kommunens rutiner og praksis. Informasjon om kommunens oppfølging av tidligere revisjon. Dokumentanalyse Intervjuer Evt. spørreundersøkelse Mappegjennomgang Problemstilling 3 Blir barneverntjenestens arbeid med oppfølging av barn i fosterhjem i tilstrekkelig grad planlagt, kontrollert, og ved behov korrigert? Barnevernloven med forskrifter, veiledere, forarbeider og utredninger osv. Informasjon om kommunens rutiner og praksis. Informasjon om kommunens oppfølging av tidligere revisjon. Dokumentanalyse Intervjuer Evt. spørreundersøkelse 1 Trinnhøydeprinsippet (også kalt Lex Superior) er et rettslig prinsipp som innebærer at rettsregler av høyere rang går foran regler av lavere rang dersom det er motstrid mellom reglene. østfold kommunerevisjon iks 4 126

127 6. PROSJEKTORGANISERING, RESSURSBEHOV OG FREMDRIFTSPLAN Prosjektdeltakere Lene Brudal - forvaltningsrevisor Jolanta Betker - oppdragsansvarlig revisor Prosjektperiode Februar 2020 Juni 2020 Antall timer Vedtaksorgan: Fremdrift 400 +/- 10 % timer Kontrollutvalget i Fredrikstad kommune Ferdig Når prosjektplan er godkjent i KU 12. februar 2020 Når rapport er sendt til rådmannen Sommer/høst 2020 Når rapport er sendt til ØKUS Sommer/høst 2020 Kommentar til ressursrammen Revisjonen planlegger alle ordinære forvaltningsrevisjoner med et utgangspunkt på 300 timer. Estimert tidsbruk på oppfølgingsrapporter er 50 timer. I tillegg vil det enkelte ganger være behov for en større ressursramme, eksempelvis der det er hensiktsmessig å gjennomføre flere forvaltningsrevisjoner i samme prosjekt, eller det er ønskelig å vurdere praksis i flere enheter i kommunen. I dette tilfellet skal vi gjennomføre en oppfølging av en tidligere revisjon på barnevernområdet i tillegg til en ordinær forvaltningsrevisjon. Som beskrevet ovenfor under punkt 3 er det også ønskelig fra administrasjonens side å inkludere oppfølgingen av alle plasserte barn. Barneverntjenesten har organisert arbeidet i flere avdelinger, og det vil derfor være nødvendig å gå bredt ut i organisasjonen for at vi skal kunne danne oss et helhetlig bilde av kommunens oppfølging av hele gruppen plasserte barn. Dette er årsaken til at rammene for prosjektet er satt til 400 timer +/- 10 %. østfold kommunerevisjon iks 5 127

128 ØSTFOLD KONTROLLUTVALGSSEKRETARIAT Saksnr.: 2020/58 Dokumentnr.: 3 Løpenr.: 17083/2020 Klassering: Saksbehandler: Anita Dahl Aannerød Møtebok Behandlet av Møtedato Utvalgssaksnr. Kontrollutvalget Fredrikstad /7 Forvaltningsrevisjonsrapport "Cyberangrep og informasjonssikkerhet" Sekretariatets innstilling Sekretariatet anbefaler kontrollutvalget å fatte slikt vedtak: 1. Kontrollutvalget tar forvaltningsrevisjonsrapport «Cyberangrep og informasjonssikkerhet», samt kommunedirektørens uttalelse til rapporten til etterretning, og slutter seg til revisjonens anbefalinger. 2. Kontrollutvalgets innstilling til bystyret: 1: Bystyret tar forvaltningsrevisjonsrapport «Cyberangrep og informasjonssikkerhet» til etterretning, og ber administrasjonen følge opp de 12 anbefalinger som fremkommer av rapporten. Herunder skal kommunen: implementere varsling til sikkerhetsmyndigheter i sine skriftlige rutiner/prosedyrer. prioritere å få på plass en overordnet beredskapsplan for IKTsikkerhetsmessige situasjoner, basert på deres ROS-analyse. gjennomgå sine rutiner og prosedyrer på området, med særlig hensyn til gyldighet, begrepsbruk, ansvarsfordeling og overlapping av innhold. vurdere å gjennomgå viktige loggfiler jevnlig. prioritere å få på plass ytterligere sikring av sin e-post-kommunikasjon. vurdere å kryptere bærbare enheter der det er risiko for at sensitiv data blir lagret lokalt, som anbefalt i NSMs grunnprinsipper. innføre 2-faktor autentisering på alle flater der ansatte eksternt skal koble seg til kommunens systemer, eventuelt sperre for flater der 2-faktor autentisering ikke er tilgjengelig. vurdere å innføre sentral kontroll av gjennomgang av tilganger eventuelt gjennomgå sine dokumenter på området med hensyn til tydeliggjøring av ansvaret for å gjennomgå tilganger. vurdere å jevnlig gjennomgå aktivitetslogg for tilgang til serverrom, eventuelt vurdere å innføre sperrer i systemet slik at det ikke er mulig for alle med administratorrettigheter å gi tilgang til slike rom. sørge for at risikovurderinger av informasjonssikkerheten gjennomføres i tråd med egne rutiner og retningslinjer. etablere en systematisk overvåkning av informasjonssikkerheten i kommunen for å sikre at lovverket etterleves. kartlegge de ansattes kompetansebehov innen informasjonssikkerhet, og vurdere nødvendige tiltak. Det kan være hensiktsmessig om kommunen også 128

129 benytter resultatene fra spørreundersøkelsen som en indikasjon på hvordan kompetansetiltakene bør innrettes. 2: Bystyret viser til kontrollutvalgets ansvar for å påse at bystyrets vedtak i forbindelse med forvaltningsrevisjon blir fulgt opp. Bystyret ber kontrollutvalget om å følge opp vedtaket med en oppfølgingsrapport fra revisjonen ett år etter bystyrets behandling av saken. Denne oppfølgingsrapporten skal også sendes til bystyret. Fredrikstad, Vedlegg Forvaltningsrevisjonsrapport «Cyberangrep og informasjonssikkerhet», datert 24. januar Andre saksdokumenter (ikke vedlagt) Prosjektplan «Cyberangrep og informasjonssikkerhet» kontrollutvalgssak 18/30, den 13. juni KU-sak 18/5, (Forvaltningsrevisjonsplan ) Bystyresak 47/18, den , (Forvaltningsrevisjonsplan ) Saksopplysninger Prosjektets bakgrunn: Da kontrollutvalget og bystyret vedtok plan for forvaltningsrevisjon anså de det som viktig at det ble sett nærmere på området cyberangrep og informasjonssikkerhet. Dette prosjektet er dermed en del av planverket for Prosjektets problemstillinger: Revisjonen har arbeidet etter følgende problemstillinger i prosjektet. 1. Har kommunen tilfredsstillende planer og rutiner for håndtering av IKTsikkerhetsmessige situasjoner? 2. Har kommunen etablert tilfredsstillende sikkerhetstiltak av sine datasystemer mot cyberangrep? 3. Har kommunen etablert et tilfredsstillende styringssystem (internkontroll) for informasjonssikkerhet? 4. I hvilken grad har de ansatte kjennskap til retningslinjer og rutiner for informasjonssikkerhet? Revisjonskriterier: For å kontrollere og besvare problemstillingene har revisjonen utledet revisjonskriterier (kontrollkriterier). Revisjonskriteriene er utledet av: Kommuneloven Personopplysningsloven Lov om kommunale helse- og omsorgstjenester m.m., 2011 Ot. Prp. Nr. 58, Stortingsmelding nr «IKT-sikkerhet Et felles ansvar» Nasjonal strategi for digital sikkerhet EUs personvernforordning (GDPR) eforvaltningsforskriften Virksomhetssikkerhetsforskriften ISO/IEC 27001:2013 Difis veiledning til ISO/IEC 27001:2013, versjon 1.4 NSMs veileder «Grunnprinsipper for IKT-sikkerhet» NSMs sjekkliste S-01 «fire effektive tiltak mot dataangrep» 129

130 NSMs sjekkliste S-02 «ti viktige tiltak mot dataangrep» Rammeverk for håndtering av IKT-sikkerhetshendelser, per Fastsatt av Justisog beredskapsdepartementet for sivil sektor og Forsvarsdepartementet for forsvarssektoren. Fredrikstad kommunes rutiner og retningslinjer på området De utledede kontrollpunktene fremgår i sin helhet på side 12, 17, 33 og 37 i rapporten. Revisjonens konklusjon: Revisjonens konklusjon på problemstillingene ut fra sine kontrollhandlinger og vurderinger er følgende: «Planer og rutiner Faktagrunnlaget i vår rapport viser at kommunen i hovedsak har tilfredsstillende planer og rutiner for håndtering av IKT-sikkerhetsmessige situasjoner, herunder varsling fra ansatte. Kommunens beredskapsplan for alvorlige driftssituasjoner, vedlikehold av infrastruktur og prosedyrer for ulike driftsstans-kategorier vil kunne dekke de fleste forhold som kan føre til driftsavbrudd i kommunens IKT-systemer. Det er positivt at kommunen involverer sikkerhetsmyndigheter ved behov, men dette er ikke nedfelt skriftlig i kommunens planer og rutiner noe vi mener ville vært en fordel. Det er også positivt at kommunen siden 90-tallet har gjennomført ROS-analyser for IT-sikkerhet. Vi anser det likevel som mangelfullt at det ikke er utarbeidet en overgripende beredskapsplan for håndtering av IKT-sikkerhetsmessige situasjoner basert på denne analysen. Sikkerhetstiltak Våre undersøkelser viser at kommunen har etablert en rekke sikkerhetstiltak av sine datasystemer mot cyberangrep, som i hovedsak tilfredsstiller kravene i våre revisjonskriterier. Revisjonen har likevel avdekket enkelte forbedringsområder. I hovedsak gjelder dette at dokumentasjon på området er delvis overlappende, samtidig som flere dokumenter er under revisjon, og at det kan se ut til å være en sammenblanding av personvern og IT-sikkerhet i kommunens prosedyrer. Vi har derfor vurdert at kommunen ikke i stor nok grad har kommunisert innholdet i sin sikkerhetsstyring på en tydelig nok måte slik at det er lett forståelig for de ansatte. Vi mener også at det innebærer risiko at sluttbrukere kan be om midlertidig tilgang til filnedlasting. Etter vår oppfatning åpner det opp for at det installeres mer funksjonalitet enn nødvendig på enheten, og risikoen for at skadelig programvare får tilgang til kommunens systemer øker. I dag gjennomgås loggfiler kun ved mistanke om forhold som bør følges opp. Etter vår oppfatning vil en jevnlig gjennomgang av loggfiler kunne føre til oppdagelse av mistenkelig aktivitet på et tidligere tidspunkt. Som rekognoseringen av kommunens hoved-domene, og samtaler med kommunen viste, bruker ikke kommunen på tidspunkt for revisjon de anbefalte prinsipper for beste praksis ved e-post-sikkerhet. Det kan videre være en risiko for at data blir lagret lokalt på bærbare enheter. Det øker risikoen for uautorisert tilgang til kommunens systemer når ikke 2-faktor autentisering er tatt i bruk på alle flater der de ansatte eksternt skal koble seg til kommunens systemer. Vår spørreundersøkelse viser at det kan være tilfeller der det gis utvidede tilganger uten at e-kurset er bestått/gjennomført. Det kan være en risikofaktor at det ikke er implementert systemkontroll for å sikre at kurset er gjennomført før den ansatte får utvidede tilganger. Det kan også være hensiktsmessig å vurdere behov for en sentral oppfølging av at tilganger blir 130

131 gjennomgått på jevnlig basis. Eventuelt kan kommunen vurdere å tydeliggjøre ansvaret i sine rutiner på området. Når det gjelder fysisk tilgang til kommunens servere, er vår oppfatning at det kan ligge risiko i det at alle som har administratorrettigheter i adgangssystemet kan gi adgang til serverrom. Risikoen reduseres noe av at systemet loggfører aktivitet, men risikoen kan reduseres ytterligere ved jevnlig gjennomgang av logger, eller restriksjoner i tilgangssystemet som hindrer uautoriserte personer å gi tilgang til disse rommene. Internkontroll Vi har funnet at kommunen har etablert flere tiltak som har positiv effekt i kommunens internkontroll på området, herunder blant annet en rekke rutiner og retningslinjer. Vi kan likevel ikke si at kommunen på nåværende tidspunkt har et styringssystem for informasjonssikkerhet som er tilfredsstillende. Som våre vurderinger viser handler dette blant annet om at internkontrolldokumentasjonen fremstår som uoversiktlig, manglende risikovurderinger og manglende overvåkning av systemet, samt lite systematikk i dette arbeidet. Ansattes kjennskap til rutiner og retningslinjer Våre vurderinger viser at kommunen har etablert en rekke tiltak for å sikre at kommunens ansatte har kjennskap til kommunens rutiner og retningslinjer for informasjonssikkerhet. Funnene viser imidlertid et ganske stort behov for kompetanseheving på området. Slik revisjonen vurderer det har kommunens ansatte kun i noen grad kjennskap til retningslinjer og rutiner for informasjonssikkerhet.» Revisjonens anbefalinger: Basert på sine vurderinger og konklusjoner gir revisjonen 12 anbefalinger. Herunder at kommunen bør: implementere varsling til sikkerhetsmyndigheter i sine skriftlige rutiner/prosedyrer. prioritere å få på plass en overordnet beredskapsplan for IKT-sikkerhetsmessige situasjoner, basert på deres ROS-analyse. gjennomgå sine rutiner og prosedyrer på området, med særlig hensyn til gyldighet, begrepsbruk, ansvarsfordeling og overlapping av innhold. vurdere å gjennomgå viktige loggfiler jevnlig. prioritere å få på plass ytterligere sikring av sin e-post-kommunikasjon. vurdere å kryptere bærbare enheter der det er risiko for at sensitiv data blir lagret lokalt, som anbefalt i NSMs grunnprinsipper. innføre 2-faktor autentisering på alle flater der ansatte eksternt skal koble seg til kommunens systemer, eventuelt sperre for flater der 2-faktor autentisering ikke er tilgjengelig. vurdere å innføre sentral kontroll av gjennomgang av tilganger eventuelt gjennomgå sine dokumenter på området med hensyn til tydeliggjøring av ansvaret for å gjennomgå tilganger. vurdere å jevnlig gjennomgå aktivitetslogg for tilgang til serverrom, eventuelt vurdere å innføre sperrer i systemet slik at det ikke er mulig for alle med administratorrettigheter å gi tilgang til slike rom. sørge for at risikovurderinger av informasjonssikkerheten gjennomføres i tråd med egne rutiner og retningslinjer. etablere en systematisk overvåkning av informasjonssikkerheten i kommunen for å sikre at lovverket etterleves. kartlegge de ansattes kompetansebehov innen informasjonssikkerhet, og vurdere nødvendige tiltak. Det kan være hensiktsmessig om kommunen også benytter resultatene fra spørreundersøkelsen som en indikasjon på hvordan kompetansetiltakene bør innrettes. Kommunedirektørens høringsuttalelse: 131

132 Kommunedirektøren har gitt sine kommentarer til anbefalingene og rapporten. Dette fremgår i sin helhet på side 49, 50 og 51 i rapporten. Kommunedirektøren skriver blant annet at det er svært nyttig at det er gjennomført et forvaltningsrevisjonsprosjekt på området. Samlet sett oppfatter kommunedirektøren at rapporten viser at kommunen har et forsvarlig system og tilfredsstillende teknologisk plattform. Kommunedirektøren viser videre til de forbedringsområder som fremkommer av rapporten, og videre tiltak kommunedirektøren ser som aktuelle for å følge opp forbedringsområdene og revisjonens anbefalinger. Vurdering Det ligger til kontrollutvalget å forsikre seg om at revisors gjennomføring og rapportering skjer i henhold til god kommunal revisjonsskikk og etablerte og anerkjente standarder på området. Rapportens utforming, innhold, vurderinger og konklusjoner faller imidlertid inn under revisors selvstendige, faglige ansvar. Revisjonen oppgir at prosjektet er gjennomført i tråd med «Standard for forvaltningsrevisjon» (RSK 001). Sekretariatet vurderer at rapporten gir svar på problemstillingene og kontrollutvalgets bestilling via prosjektplan. Videre vurderer sekretariatet at valg av revisjonskriterier er relevante for å kunne besvare problemstillingen. Vi finner at undersøkelsen bygger på data innsamlet ved hjelp av flere metoder, herunder intervjuer, dokumentanalyse og spørreundersøkelse. I tillegg har revisjonen fått utført en rekognosering 1 av kommunens systemer, og en phishing-test 2 mot 100 av kommunens ansatte. Gjennom bruk av ulike metoder sikrer revisjonen rapportens validitet (gyldighet) og reliabilitet (pålitelighet). Samlet sett anser også sekretariatet at dataene som er benyttet er tilstrekkelig som grunnlag for rapportens vurderinger, konklusjoner og anbefalinger. Revisors vurderinger er basert på innsamlet materiale, revisjonskriterier og de metodiske avgrensingene. Sekretariatet vurderer at kommunedirektøren slutter seg til revisjonens anbefalinger og viser til tiltak som skal gjennomføres for å følge opp anbefalingene. Sekretariatet anbefaler kontrollutvalget å ta rapporten og kommunedirektørens uttalelse til rapporten til etterretning. Sekretariatet anbefaler at kontrollutvalget legger revisjonens vurderinger og anbefalinger til grunn i sitt forslag til vedtak i bystyret, og videre at kontrollutvalget innstiller til bystyret at rapportens anbefalinger skal tas til følge og gjennomføres. Sekretariatet anbefaler også at revisjonen gjennomfører en oppfølgingsrapport ett år etter bystyrets behandling i saken. 1 Kartlegging av mulige angrepsflater for en eventuell angriper. 2 Utsending av e-post for å kartlegge om en angriper kan komme inn i systemene via de ansatte. 132

133 Cyberangrep og informasjonssikkerhet Fredrikstad kommune Forvaltningsrevisjonsrapport Rolvsøy 24. januar 2020 Østfold kommunerevisjon iks 1 133

134 INNHOLDSFORTEGNELSE 1. SAMMENDRAG INNLEDNING Bakgrunn Problemstillinger Metode og gjennomføring Revisjonskriterier PLANER OG RUTINER Revisjonskriterier Fakta Vurderinger SIKKERHETSTILTAK Revisjonskriterier Fakta Vurderinger INTERNKONTROLL Revisjonskriterier Fakta Vurderinger ANSATTES KJENNSKAP TIL RUTINER OG RETNINGSLINJER Revisjonskriterier Fakta Vurderinger KONKLUSJONER OG ANBEFALINGER KOMMUNEDIREKTØRENS UTTALELSE VEDLEGG Østfold kommunerevisjon iks 2 134

135 9.1. Utledning av revisjonskriterier Utplukk til phishing-test Litteratur- og dokumentliste Spørreundersøkelsen Østfold kommunerevisjon iks 3 135

136 1. SAMMENDRAG Denne forvaltningsrevisjonen handler om cyberangrep og informasjonssikkerhet. Revisjonen har undersøkt ulike deler ved kommunens arbeid med IKT-sikkerhetsmessige situasjoner og informasjonssikkerhet. Rapporten besvarer følgende problemstillinger: Har kommunen tilfredsstillende planer og rutiner for håndtering av IKT-sikkerhetsmessige situasjoner? Har kommunen etablert tilfredsstillende sikkerhetstiltak av sine datasystemer mot cyberangrep? Har kommunen etablert et tilfredsstillende styringssystem (internkontroll) for informasjonssikkerhet? I hvilken grad har de ansatte kjennskap til retningslinjer og rutiner for informasjonssikkerhet? Gjennomføring Forvaltningsrevisjonen ble opprinnelig startet i september 2018, men har av ulike årsaker blitt utsatt. Hoveddelen av prosjektet er gjennomført i Revisjonen har gjennomført undersøkelsen ved hjelp av intervjuer, dokumentanalyse og spørreundersøkelse. I tillegg har revisjonen fått utført en rekognosering [1] av kommunens systemer, og en phishing-test [2] mot 100 av kommunens ansatte. Revisjonens funn Planer og rutiner Faktagrunnlaget i vår rapport viser at kommunen i hovedsak har tilfredsstillende planer og rutiner for håndtering av IKT-sikkerhetsmessige situasjoner, herunder varsling fra ansatte. Kommunens beredskapsplan for alvorlige driftssituasjoner, vedlikehold av infrastruktur og prosedyrer for ulike driftsstans-kategorier vil kunne dekke de fleste forhold som kan føre til driftsavbrudd i kommunens IKT-systemer. Det er positivt at kommunen involverer sikkerhetsmyndigheter ved behov, men dette er ikke nedfelt skriftlig i kommunens planer og rutiner noe vi mener ville vært en fordel. Det er også positivt at kommunen siden 90-tallet har gjennomført ROS-analyser for IT-sikkerhet. Vi anser det likevel som mangelfullt at det ikke er utarbeidet en overgripende beredskapsplan for håndtering av IKT-sikkerhetsmessige situasjoner basert på denne analysen. Sikkerhetstiltak Våre undersøkelser viser at kommunen har etablert en rekke sikkerhetstiltak av sine datasystemer mot cyberangrep, som i hovedsak tilfredsstiller kravene i våre revisjonskriterier. Revisjonen har likevel avdekket enkelte forbedringsområder. I hovedsak gjelder dette at dokumentasjon på området er delvis overlappende, samtidig som flere dokumenter er under revisjon, og at det kan se ut til å være en sammenblanding av personvern og IT-sikkerhet i kommunens prosedyrer. Vi har derfor vurdert at kommunen ikke i stor nok grad har kommunisert innholdet i sin sikkerhetsstyring på en tydelig nok måte slik at det er lett forståelig for de ansatte. [1] Kartlegging av mulige angrepsflater for en eventuell angriper. [2] Utsending av e-post for å kartlegge om en angriper kan komme inn i systemene via de ansatte. Østfold kommunerevisjon iks 4 136

137 Vi mener også at det innebærer risiko at sluttbrukere kan be om midlertidig tilgang til filnedlasting. Etter vår oppfatning åpner det opp for at det installeres mer funksjonalitet enn nødvendig på enheten, og risikoen for at skadelig programvare får tilgang til kommunens systemer øker. I dag gjennomgås loggfiler kun ved mistanke om forhold som bør følges opp. Etter vår oppfatning vil en jevnlig gjennomgang av loggfiler kunne føre til oppdagelse av mistenkelig aktivitet på et tidligere tidspunkt. Som rekognoseringen av kommunens hoved-domene, og samtaler med kommunen viste, bruker ikke kommunen på tidspunkt for revisjon de anbefalte prinsipper for beste praksis ved e-post-sikkerhet. Det kan videre være en risiko for at data blir lagret lokalt på bærbare enheter. Det øker risikoen for uautorisert tilgang til kommunens systemer når ikke 2-faktor autentisering er tatt i bruk på alle flater der de ansatte eksternt skal koble seg til kommunens systemer. Vår spørreundersøkelse viser at det kan være tilfeller der det gis utvidede tilganger uten at e-kurset er bestått/gjennomført. Det kan være en risikofaktor at det ikke er implementert systemkontroll for å sikre at kurset er gjennomført før den ansatte får utvidede tilganger. Det kan også være hensiktsmessig å vurdere behov for en sentral oppfølging av at tilganger blir gjennomgått på jevnlig basis. Eventuelt kan kommunen vurdere å tydeliggjøre ansvaret i sine rutiner på området. Når det gjelder fysisk tilgang til kommunens servere, er vår oppfatning at det kan ligge risiko i det at alle som har administratorrettigheter i adgangssystemet kan gi adgang til serverrom. Risikoen reduseres noe av at systemet loggfører aktivitet, men risikoen kan reduseres ytterligere ved jevnlig gjennomgang av logger, eller restriksjoner i tilgangssystemet som hindrer uautoriserte personer å gi tilgang til disse rommene. Internkontroll Vi har funnet at kommunen har etablert flere tiltak som har positiv effekt i kommunens internkontroll på området, herunder blant annet en rekke rutiner og retningslinjer. Vi kan likevel ikke si at kommunen på nåværende tidspunkt har et styringssystem for informasjonssikkerhet som er tilfredsstillende. Som våre vurderinger viser handler dette blant annet om at internkontrolldokumentasjonen fremstår som uoversiktlig, manglende risikovurderinger og manglende overvåkning av systemet, samt lite systematikk i dette arbeidet. Ansattes kjennskap til rutiner og retningslinjer Våre vurderinger viser at kommunen har etablert en rekke tiltak for å sikre at kommunens ansatte har kjennskap til kommunens rutiner og retningslinjer for informasjonssikkerhet. Funnene viser imidlertid et ganske stort behov for kompetanseheving på området. Slik revisjonen vurderer det har kommunens ansatte kun i noen grad kjennskap til retningslinjer og rutiner for informasjonssikkerhet. Anbefalinger Basert på våre vurderinger og konklusjoner anbefaler vi at kommunen bør: implementere varsling til sikkerhetsmyndigheter i sine skriftlige rutiner/prosedyrer. prioritere å få på plass en overordnet beredskapsplan for IKT-sikkerhetsmessige situasjoner, basert på deres ROS-analyse. gjennomgå sine rutiner og prosedyrer på området, med særlig hensyn til gyldighet, begrepsbruk, ansvarsfordeling og overlapping av innhold. vurdere å gjennomgå viktige loggfiler jevnlig. prioritere å få på plass ytterligere sikring av sin e-post-kommunikasjon. Østfold kommunerevisjon iks 5 137

138 vurdere å kryptere bærbare enheter der det er risiko for at sensitiv data blir lagret lokalt, som anbefalt i NSMs grunnprinsipper. innføre 2-faktor autentisering på alle flater der ansatte eksternt skal koble seg til kommunens systemer, eventuelt sperre for flater der 2-faktor autentisering ikke er tilgjengelig. vurdere å innføre sentral kontroll av gjennomgang av tilganger eventuelt gjennomgå sine dokumenter på området med hensyn til tydeliggjøring av ansvaret for å gjennomgå tilganger. vurdere å jevnlig gjennomgå aktivitetslogg for tilgang til serverrom, eventuelt vurdere å innføre sperrer i systemet slik at det ikke er mulig for alle med administratorrettigheter å gi tilgang til slike rom. sørge for at risikovurderinger av informasjonssikkerheten gjennomføres i tråd med egne rutiner og retningslinjer. etablere en systematisk overvåkning av informasjonssikkerheten i kommunen for å sikre at lovverket etterleves. kartlegge de ansattes kompetansebehov innen informasjonssikkerhet, og vurdere nødvendige tiltak. Det kan være hensiktsmessig om kommunen også benytter resultatene fra spørreundersøkelsen som en indikasjon på hvordan kompetansetiltakene bør innrettes. Revisjonen takker Fredrikstad kommune for bistanden og samarbeidet i forbindelse med gjennomføring av revisjonen. Østfold kommunerevisjon iks 6 138

139 2. INNLEDNING 2.1. Bakgrunn Bystyret i Fredrikstad kommune vedtok forvaltningsrevisjonsplan for den 15. mars I denne planen står det følgende om behovet for forvaltningsrevisjon knyttet til cyberangrep og informasjonssikkerhet: «De siste årene har antallet cyberangrep rettet mot norske interesser økt i omfang. [...] Faktaboks 1: Bakgrunn Revisjonen har som en av sine oppgaver å utføre forvaltningsrevisjon, jfr. kommunelovens 78 og forskrift om revisjon kapittel 3. Forvaltningsrevisjon innebærer blant annet å kontrollere at forvaltningens aktiviteter foregår i samsvar med gjeldende bestemmelser og kommunestyrets vedtak. Norsk sikkerhetsmyndighet (NSM) opplyser at de erfarer fortsatt at digitale angrep så godt som alltid innledes med bruk av ulike varianter av skadevare distribuert via e-post, og at denne typen angrep fremstår med økende grad av profesjonalitet. Det er derfor viktig for kommunen å sikre gode rutiner knyttet til håndtering av e-post. Revisjonen har ikke konkrete holdepunkter for å si at risikoen er større i Fredrikstad enn andre steder, men i lys av risikobildet som tegnes av norske sikkerhetsmyndigheter mener revisjonen at sannsynligheten for at kommunen kan bli utsatt for cyber-angrep fremstår som meget høy. Konsekvensen av et slikt angrep kan i verste fall få store konsekvenser både for kommunens mulighet til å levere tjenester til innbyggerne, men også for kommunens økonomi. Den pågående digitaliseringen av samfunnet blir drevet fremover og gjort mulig av teknologiutvikling. Digitaliseringen gjør at stadig flere arbeidsprosesser utføres eller støttes av digitale verktøy. Kunnskap om, eller muligheten for å gjennomføre, manuelle rutiner forsvinner. Med økt digitalisering følger også økte krav til tilgjengelighet av viktige IKT-systemer. Dette er helt sentrale faktorer når nye, sikre digitale løsninger skal planlegges og implementeres. Ny teknologi kan gjøre det mulig å lage sikrere løsninger, men kan også medføre økt kompleksitet, introduksjon av nye sårbarheter og økt behov for sikkerhetskompetanse. NSM opplyser i sin årsrapport at de erfarer at økte muligheter innen teknisk sikring ikke alltid utnyttes og at mangelfullt teknisk vedlikehold av systemer, eksempelvis manglende sikkerhetsoppdateringer, skaper unødvendige sårbarheter. [...] I forbindelse med digitalisering av kommunens løsninger er det derfor avgjørende å sikre informasjonen slik at den ikke kommer på avveie. For eksempel ved hjelp av tilgangsstyring, kryptering, osv. Personopplysningsloven 13 med den tilhørende forskriftens kapittel 2 oppstiller i dag krav til kommunenes sikring av informasjon (informasjonssikkerhet). Den nye personvernforordningen som trer i kraft 25. mai 2018 innebærer strengere regler knyttet til informasjonssikkerhet. Vi har ikke opplysninger som indikerer at det er en spesiell risiko knyttet til informasjonssikkerheten i Fredrikstad kommune. Datatilsynets tilsyn med kommuner i 2016 viste imidlertid vesentlige avvik knyttet til informasjonssikkerhet, noe som indikerer at det kan være god grunn til å også se nærmere på dette i Fredrikstad. Eksempelvis ble det avdekket at virksomheter ikke har tilstrekkelig fokus på å ivareta personvernet og på å oppfylle pliktene i personopplysningsloven knyttet til internkontroll og informasjonssikkerhet. Dette omfattet virksomheter med ansvar for digitaliseringsprosesser, men også for virksomheter som i økende grad benytter nye digitale løsninger. Datatilsynet vurderer det Østfold kommunerevisjon iks 7 139

140 som viktig for virksomhetene å ha et akseptabelt nivå på internkontroll og informasjonssikkerhet før store digitaliseringsprosesser starter opp.» Prosjektplan for denne forvaltningsrevisjonen ble vedtatt av kontrollutvalget i Fredrikstad 13.juni Problemstillinger Rapporten omhandler følgende problemstillinger: 1. Har kommunen tilfredsstillende planer og rutiner for håndtering av IKT-sikkerhetsmessige situasjoner? 2. Har kommunen etablert tilfredsstillende sikkerhetstiltak av sine datasystemer mot cyberangrep? 3. Har kommunen etablert et tilfredsstillende styringssystem (internkontroll) for informasjonssikkerhet? 4. I hvilken grad har de ansatte kjennskap til retningslinjer og rutiner for informasjonssikkerhet? Risikoen som er beskrevet i planen for forvaltningsrevisjon knytter seg både til IT-sikkerhet, men også informasjonssikkerhet og grensene opp mot personvernregelverket -GDPR. Personvern er neste prosjekt på forvaltningsrevisjonsplanen for , og vi har derfor valgt å se nærmere på de temaene som faller naturlig inn under personvernområdet i egen rapport på personvernområdet. Det vil imidlertid være noe overlappende informasjon. Men en grundig vurdering av kommunens arbeid med personvern vil først kommune i neste forvaltningsrevisjonsrapport Metode og gjennomføring Revisjonen har gjennomført undersøkelsen ved hjelp av intervjuer, dokumentanalyse og spørreundersøkelse. I tillegg har revisjonen fått utført en rekognosering 1 av kommunens systemer, og en phishing-test 2 mot 100 av kommunens ansatte. Intervjuer/møter Intervjuer og møter ble avholdt høsten Revisjonen har gjennomført arbeidsmøte med konstituert kommunaldirektør, og fra virksomhet digitalisering: digitaliseringssjef, leder for utviklingsavdeling, leder for driftsavdeling og sikkerhetsrådgiver. Her ble aktuelle temaer diskutert, og spørsmål besvart. I etterkant av møtet ble det utarbeidet et referat, som så ble verifisert av deltagerne. Faktaboks 2: Metode og gjennomføring Østfold kommunerevisjon IKS gjennomfører all forvaltningsrevisjon i tråd med «Standard for forvaltningsrevisjon» (RSK 001). Dette innebærer blant annet at rapporten skal skille klart mellom fakta, og revisjonens vurderinger og konklusjoner. Fakta plasseres under egen overskrift, og er en gjengivelse av informasjon som revisjonen har fått tilgang til gjennom datainnsamlingen. Informasjonen bygger på beskrivelser hentet fra skriftlige dokumenter, mappegjennomgang, spørreundersøkelse og/eller verifiserte intervjuer. Det gjøres oppmerksom på at fakta i noen tilfeller kan gjengi kommunens egen vurdering eller opplevelse av en gitt tilstand. Fakta kan også være enkeltpersoners meninger, erfaringer eller holdninger. Revisjonen har også gjennomført separate intervjuer med personvernombud og sikkerhetsrådgiver. Det er også sendt ut oppfølgingsspørsmål til digitaliseringssjef og kommunens ledergruppe. Intervjuene er gjennomført både stedlig og pr. e-post. Ved bruk av stedlige intervjuer er det utarbeidet referat som er verifisert av informanten. 1 Kartlegging av mulige angrepsflater for en eventuell angriper. 2 Utsending av e-post for å kartlegge om en angriper kan komme inn i systemene via de ansatte. Østfold kommunerevisjon iks 8 140

141 Dokumentanalyse Revisjonen etterspurte dokumenter 20. august 2019, med frist for levering 30. august Dokumentasjon ble først mottatt 6. september Det ble etter dette også mottatt dokumentasjon fortløpende. Siste oversendelse, med ny beredskapsplan, ble mottatt i slutten av oktober. Revisjonen har gjennomgått de oversendte dokumentene knyttet til kommunens arbeid med IT-sikkerhet og personvern/gdpr. Revisjonen har også hentet ut enkelte dokumenter fra kommunens kvalitetssystem. Fullstendig dokumentliste følger i vedlegg (kapittel 9.3). Spørreundersøkelse Utkast til spørreundersøkelsen ble oversendt kommunen 11. september 2019 for gjennomgang og mulighet for å komme med innspill. Kommunens innspill er hensyntatt i spørreundersøkelsen. 3 Spørreundersøkelsen følger i vedlegg (kapittel 9.4). Spørreundersøkelsen ble sendt ut til respondenter, basert på en liste med alle ansatte mottatt fra kommunen. Vi mottok svar fra ansatte, noe som utgjør en svarprosent på 15,95. Med over 1300 respondenter mener vi at svarene vil kunne gi et godt innblikk i ansattes oppfatninger. Tilbakemeldinger revisjonen har fått på undersøkelsen, fra blant annet politikere, viser at respondentlisten også inneholdt e-post adresser til flere enn de ansatte i kommunen. Vi har ikke informasjon om hvor mange av mottakerne dette gjelder. Nedenfor presenteres noen opplysninger om respondentene. Figur 1: «Hvor i kommunen jobber du?» 28,3% 42,4% 7,4% 3,5% 10,0% 6,3% 2,1% Antall respondenter: 1303 Figur 1 viser at de fleste respondentene arbeider i seksjon utdanning og oppvekst eller helse og velferd. Det er også i disse to seksjonene kommunen har flest av sine ansatte. 3 I arbeidsmøte den ble det gitt tilbakemelding på at et av spørsmålene ikke lenger var relevant. Revisjonen fjernet dette spørsmålet fra undersøkelsen før den ble sendt ut. Østfold kommunerevisjon iks 9 141

142 Figur 2: «Hvor lenge har du jobbet i kommunen?» 69,4% 6,8% 12,7% 11,1% Under 1 år 1-3 år 4-6 år Mer enn 6 år Antall respondenter: 1303 I figur 2 ser vi at 69,4 prosent har jobbet i kommunen i mer enn seks år. På spørsmål om stillingstype oppgir 94 prosent av respondentene å ha fast stilling, mens 3,9 prosent oppgir engasjement/vikariat og 2,1 prosent oppga annet. Blant respondentene oppgir 77,3 prosent at de arbeider i en stilling på 80 prosent eller mer. Rekognosering av kommunens hoved-domene Et eksternt selskap har bistått revisjonen med rekognosering av kommunens systemer. En rekognosering har som mål å identifisere eventuelle datalekkasjer, sensitive systemer som ikke bør være på nett og andre forhold som kan utgjøre en risiko for at uvedkommende kan komme seg inn i kommunens systemer. En rekognoseringsrapport danner gjerne grunnlaget for penetrasjonstesting, der man simulerer hvordan en målrettet angriper vil angripe systemene. Revisjonen har kun fått gjennomført en rekognosering, for å avdekke mulige svakheter i kommunens systemer. Det er ikke gjort tester utover dette. Fredrikstad kommune har en kompleks datastruktur med flere tilknyttede enheter, og en rekke underleverandører og tjenester. Av ressursmessige hensyn er undersøkelsen begrenset til en kortvarig undersøkelse av kommunens hoved-domene. I undersøkelsen er det også kartlagt hvilken informasjon fra kommunen som er lett tilgjengelig, og om ansatte bruker kommunale e-post-adresser på internett. Videre er kommunens og ansattes bruk av sosiale medier, og om kommunen har applikasjoner til telefoner/nettbrett som kan være sårbare innganger til kommunens systemer kartlagt. Resultatet av rekognoseringen gjengis på et overordnet nivå i denne rapporten. Av hensyn til sikkerheten kan vi ikke gjengi detaljer om de funnene som er gjort. Kommunen vil få fullt innsyn i rapport fra utøvende part. Phishing-test Det eksterne selskapet gjennomførte også en phishing-test, rettet mot 100 ansatte i Fredrikstad kommune. Revisjonen hadde på forhånd gjort et utplukk av ansatte som oppfylte minst ett av følgende kriterier: Den ansatte har omfattende tilganger i de kommunale systemene Den ansatte får mange henvendelser via e-post Den ansatte har tilgang til personsensitive opplysninger om innbyggere Basert på disse kriteriene gjorde revisjonen et tilfeldig utplukk av 100 ansatte med over 50 % stilling. Fullstendig oversikt over hvilke ansvar og antall ansatte, følger i vedlegg (kapittel 9.2). Østfold kommunerevisjon iks

143 Virksomhet digitalisering kjente til phishing-testen på forhånd, og på oppfordring fra revisjonen lot være å følge egen rutine for slike situasjoner. Testen kan således kun ses på som en test av reaksjoner og handlinger hos ansatte, og ikke hvorvidt det er mulig å hacke kommunen på denne måten. Validitet og reliabilitet Vi har benyttet data fra ulike kilder, og brukt ulike innsamlingsmetoder for å sikre et faktagrunnlag med høyest mulig grad av gyldighet og pålitelighet. Utfordringer og begrensninger i rapportens faktagrunnlag er beskrevet ovenfor sammen med beskrivelsen av de ulike metodene som er benyttet. Vi tar også hensyn til metodens begrensninger i vurderingene. På denne bakgrunn mener vi at rapporten fremstiller kommunen på en mest mulig riktig måte, og at vi har et godt grunnlag for våre konklusjoner og anbefalinger. Forvaltningsrevisjonen er gjennomført av forvaltningsrevisor Constance Hauser og revisor Anita Marie Torp i perioden august til oktober Som nevnt er det også benyttet ekstern bistand fra leverandør av IT-sikkerhetstjenester Revisjonskriterier Revisjonskriterier fastsettes normalt med basis i en eller flere autoritative kilder og ut fra trinnhøydeprinsippet 4. Med autoritative kilder menes normalt lovverk, politiske vedtak og føringer, men også kommunens egne retningslinjer, anerkjent teori på området og/eller andre sammenlignbare virksomheters løsninger og resultater, kan danne basis for revisjonskriterier. I dette prosjektet er følgende kilder benyttet for å utlede revisjonskriteriene: Kommuneloven Personopplysningsloven Lov om kommunale helse- og omsorgstjenester m.m., 2011 Ot. Prp. Nr. 58, Stortingsmelding nr «IKT-sikkerhet Et felles ansvar» Nasjonal strategi for digital sikkerhet EUs personvernforordning (GDPR) eforvaltningsforskriften Virksomhetssikkerhetsforskriften ISO/IEC 27001:2013 Difis veiledning til ISO/IEC 27001:2013, versjon 1.4 NSMs veileder «Grunnprinsipper for IKT-sikkerhet» NSMs sjekkliste S-01 «fire effektive tiltak mot dataangrep» NSMs sjekkliste S-02 «ti viktige tiltak mot dataangrep» Rammeverk for håndtering av IKT-sikkerhetshendelser, per Fastsatt av Justis- og beredskapsdepartementet for sivil sektor og Forsvarsdepartementet for forsvarssektoren. Fredrikstad kommunes rutiner og retningslinjer på området Utledning av revisjonskriteriene følger i vedlegg (kapittel 9.1), samt punktvis oppsummert under hver problemstilling (kapittel 3.1, 4.1, 5.1 og 6.1). 4 Trinnhøydeprinsippet, også kalt lex superior-prinsippet, er et rettslig prinsipp som innebærer at rettsregler av høyere rang går foran regler av lavere rang dersom det er motstrid mellom reglene. Østfold kommunerevisjon iks

144 3. PLANER OG RUTINER Har kommunen tilfredsstillende planer og rutiner for håndtering av IKT-sikkerhetsmessige situasjoner? 3.1. Revisjonskriterier Revisjonen har utledet følgende kriterier for å besvare denne problemstillingen 5 : Kommunen gjennomfører risikovurderinger knyttet til IT-sikkerhet. Kommunen har planer og rutiner (sikkerhetstiltak) for å sikre beredskap ved sikkerhetshendelser. Planene og rutinene er kjent for de ansatte. Det er utarbeidet rutiner for å varsle om IKT-sikkerhetshendelser. Herunder om det skal varsles til SRM 6 og eventuelt samarbeidende virksomheter, samt til NSM 7 om nødvendig. Kommunen vurderer behov for bistand ved IKT-sikkerhetshendelser Fakta Organisering av IT-sikkerhetsarbeidet Fredrikstad kommune har organisert sin virksomhet i seks seksjoner, i tillegg til funksjonene kommuneadvokat og internrevisor som er frittstående organisert i forhold til øvrige seksjoner. Kommunens prosedyre «Organisering av personvern- og informasjonssikkerhetsarbeidet» fastslår at det overordnede, generelle sikkerhetsansvaret ligger til rådmannen. Figur 3: Fredrikstad kommunes organisasjonskart Ansvaret for drift og vedlikehold av kommunens IT-systemer ligger til virksomhet digitalisering, som er organisert under seksjon for innovasjon og styring. Virksomhetens drift er delt inn i tre avdelinger; IT drift, IT service og IT utvikling, med digitaliseringssjef som virksomhetsleder. 5 Se vedlegg 1 for utledning av kriterier 6 Sektorvist responsmiljø. Se utledning av revisjonskriterier. 7 Nasjonal sikkerhetsmyndighet. Se utledning av revisjonskriterier. Østfold kommunerevisjon iks

145 Det overordnede ansvar for drift av informasjonssystemet er delegert til digitaliseringssjef. Prosedyren «Digitaliseringssjefens ansvar og myndighetsområde» slår videre fast at digitaliseringsjefen har det faglige ansvaret for kommunens IT-system, herunder drift og vedlikehold, i tillegg til ansvar for blant annet: installasjon av programvare og programvare-oppdateringer tilgang/innmelding av brukere til nettverk og systemer, herunder sperre tilganger eller fjerne slike brukere å forvalte vedtatt sikkerhetspolicy utarbeidelse og løpende oppdatering av konfigurasjonsoversikt og beskrivelser av utstyr/programmer logg over endringer å kjøre oppgraderinger backup-rutiner installasjon av nye arbeidsmaskiner/klienter Digitaliseringssjefen har videredelegert en del av arbeidet rundt IT-sikkerhet. I virksomhet digitalisering er det en ansatt som bruker ca. 50 % av sin stilling til IT-sikkerhetsarbeid, og en IT-driftssjef som blant annet har ansvar for å godkjenne endringer i kommunens systemer. Hvert IT-system har en systemeier, som ofte også vil være daglig ansvarlig. I tillegg har kommunen egne systemansvarlige, med detaljkunnskap om IT-systemet. Daglig ansvarlig er, ifølge prosedyren: hovedansvarlig for IT-systemet i sin virksomhet juridisk part i relasjon til leverandør ansvarlig for at lover og forskrifter, respektive regler og retningslinjer følges ved utvikling, drift og vedlikehold av IT-systemet ansvarlig for kvaliteten (sikkerhet) på IT-systemet ansvarlig for at opplæringstilbud og dokumentasjon er tilfredsstillende og tilgjengelig ansvarlig for å følge opp kravet til avbruddsplan/katastrofeplan for IT-systemet Risikovurdering I kommunens kvalitetssystem ligger det en overordnet risiko- og sårbarhetsanalyse fra Dokumentet gjelder i hovedsak katastrofer som kan inntreffe i kommunen. Den har også et punkt om svikt i EKOM 8 systemer, hvor konsekvenser som fare for liv og helse og utfall av kommunal tjenesteproduksjon er vurdert. Basert på denne har kommunen utarbeidet en beredskapsplan for kommunens virksomhet. Beredskapsplanen er på et overordnet nivå, og omhandler ikke direkte IKT-sikkerhetshendelser. Virksomhet digitalisering har gjennomført ROS-analyse for IT-sikkerhet. Analysen omhandler sikkerhet for egne data og systemer hvor driftsansvar ligger hos virksomhet digitalisering. Analysen inkluderer ikke systemer som driftes av tredjepart. For disse systemene skal behandlingsansvarlige utarbeide egne ROS-analyser, samt databehandleravtale. Arbeidet med siste versjon av analysen startet opp i april 2018 og ble avsluttet i juni Analysen beskriver sikkerhetsbrudd som følge av kriminelle handlinger, menneskelige feil eller teknisk svikt. I henhold til rapporten er analysen begrenset til hendelser som vil kunne få alvorlige konsekvenser for Fredrikstad kommune eller innbyggerne. Konsekvenser kan være av økonomisk art, driftsmessig art 8 Telekommunikasjon og IKT-systemer. 9 Digitaliseringssjef informerer om at slike analyser er gjennomført siden 90-tallet. Østfold kommunerevisjon iks

146 eller at ansattes eller innbyggeres personopplysninger kommer på avveie. Å utelukke sikkerhetsbrudd av denne type 100 % vil være vanskelig å oppnå og særdeles kostbart. Det vil derfor være nødvendig å akseptere en viss risiko, samtidig som kommunen skal ivareta innbyggernes lovfestede rettigheter til vern av personopplysninger. Følgende hendelser er risikovurdert: Datainnbrudd og skadeverk Menneskelig svikt Teknisk svikt Utroskap, misbruk av stilling Vurderingen bygger på nå-situasjonen med de eksisterende tiltak, samt eventuelle nye tiltak som vil kunne føre til en forbedret sikkerhet. Analysen viser at kommunen har en rekke eksisterende tiltak som bidrar til å redusere risikoen for svikt. På enkelte områder er det avdekket en risiko som kan aksepteres dersom det finnes enkle tiltak. Men det er ikke avdekket risiko som ikke kan aksepteres. Nye tiltak skal saksbehandles i linjen og må vurderes opp mot effekt og kostnader, og beslutning må tas av digitaliseringssjef. Kommunen har også til hensikt å utarbeide mer detaljerte tiltakskort 10 på dette området. Det vil være hensiktsmessig å bruke ROS-analysen som et verktøy for å følge opp, øke bevisstheten, og dokumentere at arbeid med IT-sikkerhet blir fulgt opp. Planer Kommunen opplyser om at de anser beredskapen ivaretatt gjennom vedlikehold av infrastruktur og nettverk, samt i «Beredskapsplan for alvorlige driftssituasjoner» 11. Kommunens definisjon av en alvorlig driftsforstyrrelse er: «En alvorlig driftsforstyrrelse innebærer at en vesentlig del av brukere ikke kommer inn på kommunens IT-systemer eller at en vesentlig del av tjenestene ikke fungerer og at dette ikke kan løses innen rimelig tid.» Hensikten med beredskapsplanen er å få en optimal arbeidsflyt for å etablere normal driftsituasjon så raskt som mulig. Ved alvorlige driftssituasjoner skal det blant annet utnevnes en informasjonsansvarlig som har ansvar for å gi informasjon til alle ansatte ved virksomhet digitalisering og legge ut driftsmelding på Frekit. Informasjonsansvarlig skal også be kommunikasjon og service om å legge ut en driftsmelding på Frekit og kommunens hjemmesider dersom feilen antas å bli langvarig, og be de vurdere behov for å informere pressen. Ifølge kommunen er de ansatte gjort kjent med beredskapsplanen gjennom virksomhet digitaliserings informasjonsaktiviteter. Kommunen jobber nå med en beredskapsplan for IKTsikkerhetsmessige hendelser og situasjoner, som er basert på gjennomført ROS-analyse. På tidspunkt for revisjon er denne ikke ferdigstilt. 10 Konkrete tiltak for å håndtere uønskede hendelser dokumenteres i tiltakskort. Tiltakskortene er scenariobaserte og bygger på ROS-analysen. Tiltakskortene er ikke utfyllende, men skal være representative for de mest relevante krisene som kan ramme kommunen. Tiltakskortene er forhåndsklarerte og kan iverksettes uten videre tillatelser på det nivået arbeidet ligger. Et tiltakskort er en oversikt over tiltak som på forhånd er identifisert og som må iverksettes når det inntreffer en hendelse. Tiltakskortene skal inneholde beskrivelser av hva som skal gjøres og hvem som skal varsles. (forvaltningsrevisjonsrapport Ekstremvær, 20. september 2019). 11 Dokumentet er utarbeidet i februar 2007 og revidert i 2010, 2013, 2014, 2018, og sist 22. oktober Østfold kommunerevisjon iks

147 Når det gjelder gjenoppretting etter driftsstans informerer kommunen om at de har en rekke prosedyrer tilhørende ulike driftsstans-kategorier. Prosedyrene er tekniske og inneholder også informasjon om hvordan organisasjonen skal reagere og arbeide. Kommunen informerer videre om at helse- og omsorgstjenester er prioritert ved eventuell driftsstans. Varsling om sikkerhetshendelser I henhold til kommunens retningslinjer for personvern og informasjonssikkerhet skal avviksbehandling iverksettes ved brudd på sikkerhetstiltak og/eller når oppgaver er utført i strid med de rutiner som er besluttet. Alle medarbeidere er ansvarlig for å melde avvik ved å bruke kommunens avviksmodul i kvalitetssystemet. Avvikene vil da behandles av nærmeste leder. Det fremgår av retningslinjene at det er utarbeidet egen prosedyre for avviksbehandling informasjonssikkerhet. Revisjonen har fått forelagt prosedyren Avvik personvern. Her fremgår blant annet at ved brudd på informasjonssikkerheten som har medført uautorisert utlevering av sensitive personopplysninger, eller ved mistanke om slik utlevering, skal avviket straks meddeles personvernombudet som meddeler videre til Datatilsynet. Dette skal gjøres innen 72 timer. De berørte parter skal også varsles. (f.eks. innbygger/ansatt). Grove brudd som blir meldt til datatilsynet skal drøftes i sikkerhetsutvalget. Prosedyren nevner ikke varsling til SRM (sektorvise responsmiljøer) 12, samarbeidende virksomheter eller NSM (nasjonal sikkerhetsmyndighet). Daglig ansvarlig og drift- og utviklingssjef skal fortløpende vurdere videre tiltak, eksempelvis kontakte leverandør ved behov. Eksternt vil det etter alvorlighetsgrad kunne være nødvendig å involvere særlig helsenettleverandør 13, informasjonsleverandører, osv. Kommunen informerer om at de varsler Datatilsynet ved grove sikkerhetsbrudd, og at de har dialog med Politiet og NSM. De vurderer også om det er behov for bistand fra andre ved sikkerhetshendelser, og avtaler i slike tilfeller med NSM og helsecert. Kommunen samarbeider med Politiets sikkerhetstjeneste ved behov Vurderinger Ansvaret for drift og vedlikehold av kommunens IT-systemer ligger til virksomhet digitalisering, med digitaliseringssjef som virksomhetsleder. Vi mener det er bra at kommunen har gjennomført ROS-analyse for IT-sikkerhet. Analysen omhandler sikkerhet for egne data og systemer hvor driftsansvar ligger hos virksomhet digitalisering. Analysen ble avsluttet i juni 2019, og er begrenset til hendelser som vil kunne få alvorlige konsekvenser for kommunen eller innbyggerne. Konsekvenser av økonomisk eller driftsmessig art, samt personopplysninger på avveie, er vurdert i analysen. Revisjonen finner det positivt at analysen viser at kommunen har en rekke eksisterende tiltak som bidrar til å redusere risikoen for svikt, og at det ikke er avdekket risiko som ikke kan aksepteres. Vi er også positive til opplysningen om at kommunen har gjennomført slike analyser siden 90-tallet. 12 For nærmere informasjon om SRM, se utledning av revisjonskriterier. 13 Norsk helsenett. Leverandør som jobber for at all helseinformasjon alltid skal være trygg og tilgjengelig. Østfold kommunerevisjon iks

148 Kommunen opplyser om at de anser beredskapen ivaretatt gjennom vedlikehold av infrastruktur og nettverk, samt i «Beredskapsplan for alvorlige driftssituasjoner». Når det gjelder gjenoppretting etter driftsstans informerer kommunen om at de har en rekke prosedyrer tilhørende ulike driftsstanskategorier, og at helse- og omsorgstjenester er prioritert ved eventuell driftsstans. Etter revisjonens oppfatning er det positivt at kommunen har beredskapsplan for driftssituasjoner, og at virksomhet digitalisering formidler informasjon om denne gjennom sine informasjonsaktiviteter. Vi finner det likevel mangelfullt at kommunen foreløpig ikke har en beredskapsplan basert på gjennomført ROSanalyse. Revisjonen finner det imidlertid positivt at kommunen har flere prosedyrer for å håndtere driftsstans, og at de prioriterer helse- og omsorgstjenester i slike tilfeller. Etter revisjonens oppfatning har kommunen retningslinjer og prosedyre som omhandler varsling fra ansatte i kommunen både for generell varsling, og for varsling innen informasjonssikkerhet. Det er mangelfullt at kommunens rutiner ikke inneholder punkter om varsling til SRM, andre virksomheter eller NSM, men ifølge kommunen er dette forhold de uansett vurderer. Revisjonen mener at dette med fordel kunne vært nedfelt i skriftlige rutiner. Østfold kommunerevisjon iks

149 4. SIKKERHETSTILTAK Har kommunen etablert tilfredsstillende sikkerhetstiltak av sine datasystemer mot cyberangrep? 4.1. Revisjonskriterier Revisjonen har utledet følgende kriterier for å besvare denne problemstillingen: Kommunikasjon Kommunens prosess for risikostyring, ansvar for denne og rapporteringslinjer til øvre ledelse er kjent. Kommunens ledelse kommuniserer krav og forventninger til sikkerhet på en tilgjengelig og forståelig måte til sine ansatte. Soner Kommunen har oversikt over hvor viktige data lagres og hvem som har tilgang til disse dataene. Anskaffelse Kommunen stiller krav om sikkerhet ved anskaffelse av digitale produkter og tjenester. Konfigurering og endringer Kommunen konfigurerer enheter som skal kobles til kommunens nett. Program- og maskinvare oppdateres kontinuerlig, og kjøring av ikke-autoriserte programmer er blokkert. Unødvendig kode og makroer deaktiveres i autoriserte programmer/applikasjoner. Kommunen bruker sikker oppstart. IKT- systemet overvåkes og analyseres, endringer er planlagt og dokumentert, og viktige logger gjennomgås jevnlig. Brannmur og antivirus Kommunen loggfører nettverkstrafikk. Uønsket/ubedt trafikk blokkeres av brannmur/klientbrannmur og loggfiler gjennomgås jevnlig. Kommunen bruker antivirus/antiskadevare og har kodebeskyttelse mot ukjente sårbarheter. E-post og kryptering Kommunen har beskyttet sin e-post kommunikasjon, og krypterer informasjon på bærbare medier og ved oversendelse på nett. Passord og tilgang Kommunen setter krav til passordstyrke, og bruker 2-faktor autentisering. Sluttbrukere har ikke administratorrettigheter og kommunen gjennomgår jevnlig tilgangsrettigheter. Fysisk tilgang Fysisk tilgang til nettverk- og informasjonssystemer er tilgangsstyrt. Østfold kommunerevisjon iks

150 4.2. Fakta Kommunikasjon Kommunen publiserer rutiner, prosedyrer, retningslinjer o.l. i sitt kvalitetssystem. Virksomhet digitalisering informerer om at de jobber med å få ut alle relevante dokumenter på IT-området, men at de ikke er helt i mål med hvilken struktur de ønsker. Det ble lansert et nytt kvalitetssystem tidligere i 2019, og det gjenstår en del arbeid med å flytte over og rydde i dokumenter. Kommunen informerer om at de har rutiner og prosess for risikostyring i sitt kvalitetssystem. Det fremkommer av retningslinjer for personvern og informasjonssikkerhet ansatte, at alle kommunens medarbeidere som behandler personopplysninger skal kjenne til kommunens kvalitetssystem for informasjonssikkerhet og personvern. Herunder hvem som har ansvar for hva i sikkerhetsarbeidet. Retningslinjene sier også at alle medarbeidere har et viktig ansvar for å melde avvik i tråd med kommunens rutiner for avvikshåndtering. Videre står det i retningslinjene at de dokumenterte og detaljerte sikkerhetsprosedyrene i kommunen kan finnes i kvalitetssystemet, fellesdokumenter, informasjonssikkerhet på kommunens intranett. Som medarbeider er de ansatte forpliktet til å sette seg inn i gjeldende prosedyrer, og holde seg oppdatert på nye retningslinjer/prosedyrer. Kommunen har mange rutiner/retningslinjer som omhandler IT-sikkerhet og informasjonssikkerhet. Rutinene/retningslinjene er delvis overlappende og det kan være vanskelig å få oversikt. Flere av rutinene er også under revisjon. Revisjonen har fått opplyst at informasjon fra virksomhet digitalisering til de ansatte i hovedsak går gjennom meldinger på kommunens intranett, og i rådmannens nyhetsbrev som går ut til alle ansatte i kommunen. Nyansatte i kommunen må gjennomføre et elektronisk plattformkurs (e-kurs). Det fremkommer av «Rutine for elektroniske plattformkurs» at kurset er forankret i kommunens rutiner for informasjonssikkerhet og er utarbeidet av IT-service. Kurset består av viktig informasjon, og en quiz som må være besvart riktig for at kurset blir registrert som gjennomført. På intranettet, under siden til IT-service, kan de ansatte finne informasjon om IT-service og hvordan de kan ta kontakt. Her finner man også en kunnskapsbase med informasjons- og læringssekvenser for IT-relaterte problemstillinger. Det er laget sekvenser om blant annet spam, phishing, hvordan konfigurere e-post, hvordan håndtere utrangert datautstyr mm. Utover dette, legger kommunens ledelse til at oppfølging av krav og forventninger til sikkerhet fortrinnsvis skal følges opp i lederlinjene gjennom lederdialogen. I tillegg har kommunen nylig hatt fokus på krav og forventninger til sikkerhet ved at de har hatt en gjennomgang med oppfølging av ansatte som ikke har deltatt på obligatorisk plattform kurs. Soner Kommunens virksomhet er delt inn i flere soner. Det er blant annet en lukket internsone, et brukersegment, egne segmenter for spesialiserte tjenester, mm. Mellom segmentene er det brannmurer med antiskadevare- og trusselbeskyttelse. Alle virksomheter med egen lokasjon har egne brannmurer internt. Printerne er også segmenterte, og de ansatte legger selv til skrivere dersom de har behov for det. Revisjonen har fått forelagt en oversikt over brannmur-soner og tilganger fra brukere og internett. Østfold kommunerevisjon iks

151 Når det gjelder sensitive opplysninger er disse lagret på servere i lukket sone. Det er kun begrensede tilganger til lukket sone, og det er kun spesifikke systemer som har tilgang til data som lagres her. Datamaskinen den ansatte jobber på har ikke direkte tilgang til lukket sone, men har tilgang til f.eks. en terminalserver som igjen har tilgang til den lukkede sonen. Når man er logget på en terminalserver til lukket sone, er det heller ikke mulig å skrive til en printer som befinner seg utenfor lukket sone. Anskaffelse En leverandør som skal besvare et anbud etter en forespørsel fra kommunen, må innrette seg etter de krav og spesifikasjoner som fremkommer i «Kravspesifikasjon, standarder for IKT». Dokumentet stiller en rekke detaljerte krav til systemer som eventuelt skal implementeres i kommunen. Det er flere krav i dokumentet, blant annet krav til type plattform, databasestandarder, kommunikasjonsprotokoller, dokumentasjon, fysisk installasjon, distribusjon og publisering av programvare, og sikkerhetsarkitektur. Kommunen stiller også krav til garantier fra leverandøren. Konkret når det gjelder sikkerhet fremkommer det i kravspesifikasjonen at NSMs «Grunnprinsipper for IKT-sikkerhet» skal etterleves, i tillegg til Datatilsynets krav og retningslinjer. Konfigurering og endring Prosedyren «Oppgradering og vedlikehold av programvare» skal sikre at kommunen kun bruker godkjente programversjoner ved oppgraderinger, at oppsett og konfigurering av utstyr med oppgradert programvare skjer på riktig måte, og at oppgradert programvare ikke tas i bruk før driftstesting og godkjenning er gjennomført. Videre sier prosedyren at IT-sjef 14 skal godkjenne programvare som brukes til oppgraderinger, at ITdriftsansvarlig skal vurdere behov for gjennomføring av risikoanalyse og at fremgangsmåten ved oppgraderinger skal dokumenteres. For å sikre at konfigurasjonsendringer er i samsvar med besluttet sikkerhetsstrategi, og at informasjonssystemet fungerer som forutsatt etter at endringen er gjennomført, har kommunen dokumentet «Konfigurasjonskontroll». Kun utstyr eller program som er eiet eller disponert av kommunen skal inngå i konfigurasjonen. Det gjelder også utstyr eller program som brukes på hjemmekontor. Ifølge dokumentet er konfigurasjonen dokumentert i en oversikt, i form av konfigurasjonskart, som angir: koblinger mellom utstyr og program inndeling av informasjonssystemet i soner kommunikasjonspunkt for tilkobling til ekstern dataoverføring sikkerhetsfunksjoner med opplysninger om oppsett/innstilling av utstyr/program opplysninger om vedlikehold, skade, funksjonsfeil, reparasjoner Virksomhet digitalisering har oversikt over kommunens infrastruktur, med alle lokasjoner og komponenter. De har også en egen database hvor all programvare, alle servere i de ulike sonene, hvilke som har ansvar for de ulike systemene mv., er registrert. Ifølge kommunen har de også en mengde tekniske konfigurasjonstegninger, over både infrastruktur og programvareinstallasjoner. 14 Tilsvarer digitaliseringssjef med dagens organisering. Østfold kommunerevisjon iks

152 Backup og restore sørger for at kommunen kan bygge opp systemene på nytt dersom noe skulle være galt med systemene. Kommunen har en egen rutine som beskriver hyppighet og type av backup som kommunen utfører. Ved inkrementell backup, som gjøres hver natt, sendes det rapport til ansvarlig medarbeider. Konfigurasjonskontrolldokumentet sier videre at konfigurasjon av datasystemer ikke skal skje uten at IT-sjef har godkjent endringen det gjelder både for maskinvare, programvare og systemer. Endringer skal utføres planmessig og systematisk, og bare etter godkjenning fra virksomhetens ledelse. Prosedyren fastslår videre at sikkerhetsmessige hensyn alltid skal tas, og beskrives, ved endringer. Det gjelder for eksempel backup, beredskapsplaner, autorisasjon og lignende. Også endringens konsekvenser skal beskrives, herunder hvem som blir berørt av endringen. Ved endringer i programmer/systemer informerer sikkerhetsrådgiver om at praksis er at endringer godkjennes av driftssjef før de implementeres i kommunens systemer. Kommunen bruker et fagsystem for endringshåndtering for å dokumentere risikovurderinger og type endringer. I systemet ligger det en mal for endringer som krever informasjon om hvorfor endringen bør gjøres, hvem som ønsker endringen gjennomført, retrettmulighet (mulighet til å gå tilbake til tidligere versjon dersom oppdateringen/endringen ikke virker som forutsatt), dato for utføring og hvem som skal gjennomføre endringen. Endringshåndtering loggføres i fagsystemet. Virksomhet digitalisering klargjør og registrerer alle nye maskiner som skal kobles på kommunens nett. De sjekker at alt fungerer som det skal, og at riktige versjoner av programvare er på plass. Siden sommeren 2016 har avdelingen satt opp alle nye maskiner, og eldre maskiner som settes opp på nytt, med sikker oppstart. Sikker oppstart kan hindre uønsket programvare fra å starte opp sammen med systemet. Uønsket programvare er programvare som har til hensikt å skade eller infiltrere maskinen, og som brukeren selv ikke er klar over/ønsker. Videre informerer kommunen om at de bruker Microsoft konfigurasjonsmanager for å sende ut sikkerhetsoppdateringer. Alle Microsoft oppdateringer blir tvunget igjennom når de kommer, og øvrig programvare kan oppdateres gjennom programvaresenteret. Ifølge kommunens kravspesifikasjon oppdateres operativsystem gjennom konfigurasjonsmanageren en gang pr. måned. Virksomhet digitalisering styrer alle Windows og programvareoppdateringer på kommunale maskiner. Kommunen har blokkert alle eksekverbare 15 filer for nedlasting fra nett. Det er anledning for ansatte til å be om midlertidig tilgang til filnedlasting (nærmere omtalt i avsnittet «passord og tilgang»). I vedlegg som kommer fra usikre kilder har kommunen også sperret for makroer 16. Virksomhet digitalisering har endringsrutiner, med blant annet en mal for hvordan de skal vurdere behov for endringer herunder størrelse på endringer, og hvilke konsekvenser endringen vil ha. Samtlige endringer registreres i endringshåndteringssystemet, men det er ikke behov for behandling i driftsmøte dersom det er snakk om mindre endringer. Virksomheten har driftsmøter tre ganger i uken hvor de behandler forslag til endringer. Noen av systemene har egne test-baser, men utover dette har ikke kommunen dedikerte testmiljøer. En del endringer/implementeringer blir testet ut litt og litt (eks. ved i første omgang å rulle det ut til en avgrenset del av brukerne), men ikke i et eget testmiljø. Testmiljøer krever duplisering av 15 Utførbare filer. Filer som inneholder program/kode som kan kjøres på en datamaskin. Dette i motsetning til en ren datafil som inneholder informasjon. 16 En serie kommandoer og instruksjoner (kode) som er gruppert sammen til en kommando for å utføre en oppgave automatisk. Østfold kommunerevisjon iks

153 systemer. Dette er dyrt, ressurskrevende og vanskelig gjennomførbart. Men alt som skal direkte til brukere må testes på forhånd. Kommunen tar jevnlig øyeblikksbilder av systemene sine, slik at de kan gå tilbake til en tidligere versjon dersom det viser seg at en oppdatering/endring ikke fungerte som forutsatt. Overvåking av IKT-systemer foregår på flere måter. Brannmurer har automatiske varsler, og sender ut e-post når det dukker opp kritiske innslag. Kommunen får også rapporter fra både HelseCERT og Allvis NOR (avtalene er nærmere beskrevet i neste avsnitt, om brannmur og antivirus). Kommunen går gjennom logger i brannmur dersom det er mistanke om forhold som krever oppfølging. Loggene gjennomgås ikke systematisk, men kommunen får automatiske varsler fra filtre i brannmuren. Loggene analyseres automatisk og fortløpende av brannmurmekanismer. I tillegg til logger i brannmur er det en sikkerhetslogg i windowsmiljøet, og i windows antivirus/antiskadevare programvaren. Videre er det logg på e-post systemet, og i fysiske låsesystem. Ifølge dokumentasjon for Tilgangsportalen blir alle endringer som gjøres i Tilgangsportalen logget. For hver aksjon som blir foretatt går det en e-post til en egen postboks, og alle endringer kan spores her. Dokumentasjonen viser også at systemet sender e-post til løsningsansvarlig ved fjerning av tilganger. Backupsystemet sender ut meldinger om status etter gjennomført backup, og kommunen følger opp ved feilmeldinger. Brannmur og antivirus Prosedyren «Antivirusprogram» har som formål å sikre persondataenes integritet og tilgjengelighet, ved hjelp av beskyttelse mot ødeleggende program (eksempelvis virus) i informasjonssystemet. Antivirusverktøy skal brukes for kontroll av arbeidsstasjoner og servere (filserver, e-postserver etc.) og i tilknytning til eventuell brannmursfunksjonalitet. Ifølge prosedyren er det IT-sjef som skal tilrettelegge tekniske tiltak og sørge for installasjon av programvare som kan avvise, oppdage og fjerne ødeleggende program, samt fastlegge rutiner som hindrer tilstedeværelse av ødeleggende program i informasjonssystemet. Aktiviteter som skal gjennomføres i henhold til prosedyren: Installere tekniske sikkerhetsbarrierer som skal gjøre det mulig å hindre utførelse av program som automatisk overføres fra eksternt datanett Gjøre oppdateringer av de siste sikkerhetspatcher for brannmur og operativsystem og sikkerhetsbarrieren skal være motstandsdyktig mot tjenestenektangrep (Denial of Service) 17 Installere antivirusprogram på alle servere, klienter og frittstående PC-er. Virusprogram skal oppdateres regelmessig i samsvar med retningslinjer fastlagt av IT-driftsansvarlig. Kommunens brannmur er levert av tredjeparts leverandør, med god kompetanse på området. Brannmurene har flere funksjoner. De varsler for eksempel om mulige trusler basert på kjente IPadresser 18, «virus-signaturer» mv. I brannmuren er det satt opp regler for håndtering av trafikk, som for eksempel at kommunen kun tillater inngående trafikk med https. Https betyr at trafikken er kryptert mellom avsender og mottaker. Brannmuren tillater deling av skjerm, men blokkerer fjernstyring av pc. Det er også en egen funksjon i muren som håndterer tjenestenektangrep. Eksempelvis om det kommer mye trafikk fra en og samme IP-adresse, eller det ser ut til at noen prøver å overbelaste serveren, vil denne trafikken droppes for å unngå overbelastning av systemet. 17 Et angrep hvor angriperen forsøker å hindre at legitime brukere får tilgang til en tjeneste eller informasjon. 18 En unik adresse som tildeles en enhet, for eksempel en PC eller en skriver i et datanettverk. Østfold kommunerevisjon iks

154 Kommunen dekrypterer i hovedsak all internettrafikk, og skanner den for skadevare 19. Dersom det oppdages mistenkelig trafikk sendes trafikken gjennom WildFire 20, i tillegg til at trafikken går til mottaker. Dersom det viser seg at mistanken om skadevare er riktig, får kommunen beskjed om at en maskin kan være infisert. Brannmuren oppdateres hvert femte minutt, med oppdaterte lister over uønskede IP-adresser, «virus-signaturer» mv. Revisjonen har fått forelagt en oversikt over kommunens brannmur og «demilitariserte soner» 21, samt oversikt over kommunens sikkerhetssoner. Tidligere i 2019 innførte kommunen også tiltak mot phishing. Tjenesten leveres av samme leverandør som leverer brannmurer til kommunen. Tiltaket har til hensikt å stoppe ansatte fra å logge på andre nettsider med samme brukeridentitet og passord som de bruker i kommunen. I de tilfeller en ansatt prøver seg på dette vil innloggingen bli blokkert, og brukeren vil få opp en advarsel med informasjon om hvorfor siden er blokkert, og at passordet til kommunens systemer må endres. Figuren nedenfor viser en skjermdump av hvordan denne advarselen ser ut. Figur 4: Skjermdump sikkerhetsmekanisme mot phishing-angrep. Kommunen benytter seg av tjenesten Allvis NOR. Dette er en tjeneste NSM tilbyr for å bedre sikkerheten i offentlige virksomheter og eiere av kritisk infrastruktur. I hovedsak består tjenesten av regelmessig kartlegging og sårbarhetsundersøkelse av utvalgte IP-adresser som er tilgjengelige på internett. Gjennom avtalen får Allvis NOR all metadata 22 om internettrafikk som går ut og inn i kommunen. Til gjengjeld får kommunen informasjon om hva tjenesten eventuelt oppdager. Kommunen har også en avtale med HelseCERT 23. HelseCERT har en oversikt/liste over domenenavn og IP-adresser som anses som ondsinnede/forsøk på svindel. Listen går direkte til kommunens brannmur som oppdateres automatisk. Listene oppdateres hvert femte minutt. Avtalen gir videre HelseCERT utvidede rettigheter i kommunens systemer de skanner alle systemer og servere og sjekker om systemene svarer på protokoller de ikke skal svare på, om det brukes utdaterte versjoner mv. Kommunen får månedsrapport med sårbarhetsoversikt for tjenester 19 Samlebetegnelse for ondsinnet programvare. Eks. datavirus, ormer, trojanere, spyware, adware osv. 20 En skybasert tjeneste som tester ut den mulige ondsinnede programvaren i et lukket, virtuelt miljø. 21 Også kalt DMZ. Et fysisk eller logisk subnett som offentliggjør en organisasjons offentlige tjenester mot internett. Har til hensikt å sørge for at hackere ikke skal få tilgang til hele kommunens nettverk, dersom de klarer å komme seg inn til en maskin som er tilgjengelig fra internett. 22 Data som definerer/beskriver annen data. 23 Se nærmere omtale i utledning til revisjonskriterier. Østfold kommunerevisjon iks

155 eksponert på internett. Dersom det er gjort kritiske funn får kommunen beskjed med en gang. Revisjonen har fått kopi av en slik rapport fra HelseCERT. Rapporten gir informasjon om hvilke tjenester det er funnet sårbarhet ved, og hva slags sårbarheter det er snakk om. Lokalt på stasjonære og bærbare maskiner bruker kommunen Windows defender som antiskadevare-beskyttelse. Programvaren oppdateres kontinuerlig. E-post og kryptering Kommunen har flere ledd med kontroll knyttet til e-post. All post som kommer utenfra kommunens nettverk blir skannet av et antivirusprogram som ser etter kjente uønskede avsendere, signaturer eller linker, og som stopper mistenkelig trafikk. I neste trinn blir e-posten skannet av kommunens brannmur, på samme måte som omtalt i avsnitt om brannmur og antivirus, før den til slutt er gjenstand for kommunens egen antivirus og skadevare-skanning i Exchange 24. Kommunen fjerner alle vedlegg som inneholder eksekverbare 25 filer. På tidspunkt for revisjon har ikke kommunen implementert DMARC 26 for sikring av sin e-postkommunikasjon. Kommunen har planer om å implementere ytterligere sikkerhetsmekanismer for sikring av e-post kommunikasjon. Det finnes alternativer til DMARC, og det er ikke avklart om kommunen vil ta i bruk DMARC eller tilsvarende sikkerhetsmekanismer. Når en ansatt kobler seg opp med mobilt kontor (bærbar maskin) kobler maskinen til kommunens nettverk gjennom en VPN-løsning 27 fra samme leverandør som leverer kommunens brannmurer. Mobilt kontor gir samme sikkerhet som om man fysisk sitter på en maskin på innsiden av kommunens nettverk. Bærbare medier er satt opp til først og fremst koble seg på kommunens eget trådløse nett for ansatte. Som det fremkommer i forrige avsnitt er all trafikk fra bærbare medier kryptert gjennom bruk av VPN. Kommunen krypterer ikke harddisker, verken på bærbare medier eller øvrige maskiner. I prosedyren «Passord» står det at når det gjelder løsninger med nettverksforbindelse er det blant annet krav til at dersom det skal lagres sensitive personopplysninger på bærbar arbeidsstasjon, skal harddisken på disse maskinene automatisk krypteres. I «retningslinjer for personvern og informasjonssikkerhet ansatte» fremkommer det, under avsnitt om taushetsplikt, at sensitive data ikke skal lagres elektronisk andre steder enn på sentral server. Kommunen anser det som generelt større risiko for at noen bryter seg inn i kommunens systemer fra internett, enn at noen bryter seg inn i et serverrom for å stjele informasjon. Det fremkommer videre fra dokumentet «Klienter» at lagring kun foregår mot kommunens servere, og at lagring av data lokalt på PC klienter ikke er støttet og gjøres eventuelt på eget ansvar. Kommunens brannmur tillater kun inngående kommunikasjon med https over internett, som nevnt under avsnitt om brannmur og antivirus. Denne kommunikasjonen er kryptert. 24 Microsofts e-post og kalenderløsning. 25 Se tidligere beskrivelse, fotnote Se nærmere beskrivelse i utledning av revisjonskriterier, DMARC. 27 Virtual Private Network. Skaper en kryptert «tunnel» mellom maskinen og kommunens nettverk. Østfold kommunerevisjon iks

156 Passord og tilgang Kommunens krav til passord omtales både i retningslinjer for personvern og informasjonssikkerhet ansatte, og i egen prosedyre for passord. Det fremkommer av retningslinjene at når en ansatt blir etablert som IT-bruker får vedkommende tildelt en brukeridentitet og et passord. Det tildelte passordet byttes til et selvvalgt passord ved førstegangs pålogging til kommunens systemer. Etter dette er det krav til bytte av passord etter maks 90 dager. Passordbytte er ivaretatt gjennom systemet, som minner de ansatte på å bytte passord når fristen nærmer seg. Brukere som ikke bytter sitt passord i tide, mister tilgang til IT-systemet. Når relasjonen til kommunen opphører, blir identitet og passord slettet. I møte med kommunen er revisjonen gjort kjent med at når brukeridentitet og passord blir tildelt, får den ansatte standardtilgang til systemene. Deretter mottar brukeren et e-kurs pr. e-post, som alle nyansatte skal gjennomføre. Etter at e-kurset er gjennomført kan virksomhetsleder gi utvidede tilganger i systemene via kommunens tilgangsportal 28. Det er mulig å gi utvidede tilganger i systemene uten at den ansatte har ferdigstilt e-kurset. Det ligger til virksomhetsleder å følge opp at den ansatte gjennomfører e-kurset. I vår spørreundersøkelse spurte vi ansatte med myndighet til å gi tilganger til andre, hvor viktig de mener det er at de ansatte faktisk har gjennomført e-kurset før de gis utvidede tilganger. Figuren nedenfor viser resultatet. Figur 5: Hvor viktig mener du det er at den ansatte har gjennomført e-kurs før du tildeler tilgang? 33,1% 44,1% 18,4% 2,9% 1,5% Svært viktig Viktig Litt viktig Ikke viktig Vet ikke Antall respondenter: 136 Figur 5 viser at 77,2 % av respondentene mener at det er viktig eller svært viktig at ansatte gjennomfører e-kurs før tilgang tildeles. Tilgangsbegrensninger og passord er nærmere regulert i prosedyren «Passord», som blant annet stiller minimumskrav til antall og typer av tegn i passord. Tilgangsbegrensninger ved hjelp av passord innen sone hvor sensitive data behandles har som formål å sikre at kun autoriserte medarbeidere får tilgang til data og programmer som er nødvendig ut fra sin stilling. Dette gjelder også for informasjon om sikring av slike opplysninger. 28 Kommunens egenutviklede digitale plattform for å gi tilganger til ansatte. Østfold kommunerevisjon iks

157 Kommunen har 2-faktor autentisering på innlogging i ansattportalen en nettbasert pålogging via VPN, til kommunens systemer. Det er også mulig for ansatte å bruke en nettbasert versjon av Outlook 29, hvor det ikke er tatt i bruk 2-faktor autentisering for pålogging. Kommunen har planer om å sperre for denne løsningen, og all tilgang som ikke skjer fra en fredrikstad-maskin må da gjøres gjennom ansattportalen. Systemadministrator har administratorrettigheter i Microsoft-nettverket. Det er atskilt fra øvrige systemer, og dersom man har administratorrettigheter i ett system, eksempelvis Gerica 30, gjelder ikke samme administratorrettigheter i et annet system. Sluttbrukere har normalt sett ikke administratortilgang på egen maskin, og dermed ikke mulighet til å laste ned filer eller installere programvare/applikasjoner utover det som er tilgjengelig i programvaresenteret i Windows. Ved behov er det mulig å be om midlertidig administratortilgang og filnedlastingsrettigheter, men brukeren blir da informert om at det er på eget ansvar. Slik utvidet tilgang nullstilles etter kort tid. I «retningslinjer for personvern og informasjonssikkerhet ansatte», under avsnitt om utvidede rettigheter, fremkommer det at enkelte brukere, f.eks. løsningsansvarlig, har utvidede rettigheter på dataanlegget for å administrere anlegget eller tilhørende programvare. Slike rettigheter er knyttet til en egen brukerkonto med spesielle egenskaper. Slike kontoer skal kun benyttes til å administrere den delen av anlegget som er tiltenkt, og ikke til vanlig bruk eller andre oppgaver. De som har behov for det i kraft av sin stilling, får flere brukeridenter, med ulike nivå av tilgangsrettigheter eksempel administratorrettigheter på server mv. Det er kun ordinær brukerident som brukes på egen maskin til ordinær bruk. Kommunen bruker Microsoft Identity Management for håndtering av tilganger i sin tilgangsportal. Ved sluttmelding i Visma, vil blant annet den ansatte automatisk bli deaktivert i tilgangssenteret og det vil ikke lenger være mulig å gi denne personen tilganger i tilgangsportalen. Passord-prosedyren sier at det skal gjøres en periodisk revurdering av de enkelte medarbeideres behov for tilganger. I retningslinjer for personvern og informasjonssikkerhet fremkommer det at hvert større fagsystem har en løsningsansvarlig, og at ansvar for vedlikehold og ajourhold av tilganger ligger til denne rollen. Kommunen informerer om at virksomhet digitalisering ikke gjør særskilte gjennomganger av de enkelte medarbeideres behov for tilganger. Det ligger til virksomhetsleder, og den som gir tilganger i tilgangsportalen å oppdatere tilganger for sitt ansvarsområde. Leverandører kan også få tilgang til kommunens systemer. I så tilfelle må de inngå en avtale med kommunen. De får kun tilgang til de systemer de har behov for, og logger på via en VPN-løsning. Leverandørene må registrere når de logger ut, og informere kommunen om hva som er gjort i systemene. Leverandørtilganger er kun midlertidige. 29 Kommunens e-postklient. 30 Kommunens journalsystem for pleie- og omsorg. Østfold kommunerevisjon iks

158 Fysisk tilgang Formålet til rutinen «Låserutiner og adgangskontroll» er å sikre konfidensialitet og integritet i kommunens data. Virksomhetens øverste leder skal vurdere behov for å innføre fysisk områdeinndeling av lokaler, og det kan være aktuelt å opprette områder med forskjellig grad av adgangskontroll innenfor samme enhet. Der publikum har adgang skal kommunen definere hvor man må ha adgangskontroll, og hvor man må bruke sikring på bruk av utstyr som pc, skriver o.l. Rutinen fastslår at områder der kommunen behandler personopplysninger skal sikres, og at det kun er autorisert personell som har adgang til disse. Det betyr blant annet at områdene skal være kontrollert av adgangskontrollsystem, at det skal være skriftlig signering før ansatte får tildelt adgangskort og koder for adgang, og at datateknisk utstyr (pc, skriver o.l.) oppbevares i låste kontorer. Ifølge rutinen er alle servere i kommunen som inneholder sensitive opplysninger fysisk plassert i godkjente datarom, beskyttet med kodelås. Koden blir skiftet etter faste rutiner. Lokalet er alltid avlåst når personell ikke er til stede, og rommet er fysisk sikret for adgang med blant annet gitter for vinduene. Det er automatisk brannslukningsanlegg på serverrom, og uautorisert personell skal alltid følges av autorisert personell. Ved forsøk på uautorisert adgang skal det meldes avvik. Kommunen har flere serverrom, på ulike lokasjoner. Adgang til rommene styres gjennom kommunens generelle adgangssystem, det er ikke virksomhet digitalisering som styrer dette. Det er mulig å se hvem som kan gi tilgang til hva i systemet, og hvem som har brukt tilgangen sin i døren. De som har administratorrettigheter i adgangssystemet har mulighet til å gi tilganger til alle områder/dører. Dette gjelder også for dører som ligger utenfor ansvarsområdet til den som tildeler rettigheter. Videre fremkommer det at det pr. i dag er flere som har tilgang til datarom, hvor det ikke er virksomhet digitalisering som har gitt tilgang. Det ligger oversikt over de som har tilganger i adgangssystemet. Rekognosering av kommunens hoved-domene Kommunen har flere titalls tusen IP-adresser i store nettverksblokker, som gir mange inngangsmuligheter for potensielle dataangrep. Undersøkelsen viser at kommunen bruker en VPNtjeneste som har hatt en del kjente kritiske sårbarheter. VPN-tjenester er tjenester som gjerne brukes for å beskytte datakilder som bør ha høy grad av beskyttelse, eksempelvis persondata. Digitaliseringssjef har i møte informert revisjonen om at de kontinuerlig oppdaterer VPN-tjenesten, og at funnet ikke er en reell sikkerhetstrussel for kommunen. Undersøkelsen viser også at kommunen ikke bruker de anbefalte prinsippene for beste praksis når det gjelder e-post-sikkerhet. Flere sikkerhets-protokoller/-teknologier mangler. Hvilke det er snakk om er spesifisert i rapporten. Videre viser undersøkelsen at kommunen gir eksterne tilgang til oversikt over alle kommunens ansatte. Informasjon om personale kan potensielt brukes som mål for phishing-angrep, og forsøk på å få tak i brukeridentiteter og passord. Østfold kommunerevisjon iks

159 Kommunen er kjent med at det kan være en sikkerhetstrussel å offentliggjøre oversikt over sine ansatte, men av hensyn til åpenhet i offentlig sektor er dette et bevisst valg fra kommunens side. Når det gjelder hvilke e-post-adresser kommunen og de ansatte bruker på internett, er det funnet 149 kommunale e-post/passord-kombinasjoner tilgjengelig på nett. Slike adresser og passord er enkelt å få tak i for uvedkomne. Et utvalg av de adressene dette gjelder er spesifisert i den detaljerte rapporten fra undersøkelsen. Kommunen informerer i møte om at det er svært lite sannsynlig at det er brukerens kommunale passord som er brukt i disse kombinasjonene og om det er det vil ikke passordet være gyldig til kommunens systemer i mer enn maks 3 måneder, som er intervallet for skifte av passord til kommunale systemer. Med kommunens nye tiltak mot phishing er det ikke lenger anledning til å bruke samme e-post/passord-kombinasjon som brukes til kommunens systemer. Også kommunens og de ansattes bruk av sosiale medier har vært gjenstand for undersøkelsen. Det viser seg at Facebook er den mest brukte sosiale plattformen, og den som vil være den største sikkerhets-sårbarheten for kommunen. Undersøkelsen viser at kommunen har applikasjoner for håndholdte enheter (Android og ios) 31, som kan være sårbare innganger til kommunens systemer. Kommunen informerer i møte om at de ikke har apper som går mot kommunens domene. De har en omfattende app knyttet til helsetjenester, men dette programmet kjører i lukket system og ikke på internett Vurderinger Kommunikasjon Revisjonens oppfatning er at kommunen gjennom kvalitetssystemer og retningslinjer for informasjonssikkerhet, kommuniserer til sine ansatte hvor de kan finne informasjon om kommunens prosess for risikostyring, herunder ansvar og avvikshåndtering/rapportering, og rutiner og retningslinjer. Det fremgår tydelig av retningslinjene at de ansatte selv har ansvar for å holde seg oppdatert på kommunens retningslinjer/prosedyrer. Vår oppfatning er at kommunen kommuniserer krav og forventninger til sikkerhet på en tilgjengelig måte gjennom kvalitetssystemet, retningslinjer, intranettet og pr. e-post gjennom nyhetsbrev og e- kurs. Oppfølging av krav og forventninger til sikkerhet skal fortrinnsvis følges opp i lederlinjene gjennom lederdialogen. Vår vurdering er at det er positivt at sikkerhet er forankret i kommunens ledelse. Vi ser imidlertid at kommunens dokumentasjon på området er delvis overlappende, og flere dokumenter er under revisjon. Etter vår oppfatning kan det være vanskelig for ansatte å orientere seg i kommunens planer, rutiner og retningslinjer på området. Det er også uklart for revisjonen om alle de rutinene som er tilgjengelig faktisk er gjeldende, og det er etter vår vurdering en risiko for at rutinene har et ulikt eller utdatert innhold. Vår gjennomgang viser også at kommunen bør vurdere 31 Operativsystemer som er mye brukt på mobiler/nettbrett. Østfold kommunerevisjon iks

160 sin begrepsbruk i rutinene. Etter vår oppfatning kan det eksempelvis se ut til at det er en sammenblanding av personvern og IT-sikkerhet i kommunens prosedyrer. På denne bakgrunn kan revisjonen ikke si at kommunen i stor nok grad har kommunisert innholdet i kommunens sikkerhetsstyring på en tydelig nok måte slik at det er lett forståelig for de ansatte. Soner Kommunens virksomhet er delt inn i flere soner, atskilt med brannmurer. Kommunen lagrer sensitive opplysninger på servere i lukket sone, hvor kun spesifikke systemer har tilgang til dataene. Etter revisjonens oppfatning har kommunen god oversikt over hvor sensitive og viktige data lagres. Anskaffelse En leverandør som skal besvare et anbud etter en forespørsel fra kommunen, må innrette seg etter de krav og spesifikasjoner fremkommer i «Kravspesifikasjon, standarder for IKT». Dokumentet stiller en rekke detaljerte krav til leverandørens systemer, herunder at de etterlever NSMs «Grunnprinsipper for IKT-sikkerhet», og Datatilsynets krav og retningslinjer. På bakgrunn av dette mener revisjonen at kommunen er tydelige på at de stiller krav om sikkerhet til sine leverandører ved anskaffelse av digitale produkter og tjenester. Konfigurering og endringer Program- og maskinvare skal være oppdatert. Nyere produktversjoner har tettet flere sikkerhetshull enn eldre versjoner, og har ofte flere og bedre sikkerhetsfunksjoner. Vår vurdering er at når virksomhet digitalisering setter opp alle enheter som skal kobles på kommunens nett, sørger kommunen med dette for at alle enheter er konfigurert og oppdatert på tidspunkt for tilkobling. Vi finner det videre positivt at kommunen har rutiner for oppgradering og vedlikehold og konfigurasjonskontroll. Kommunen se setter nå opp alle maskiner med sikker oppstart. Dette er et viktig tiltak for å oppdage manipulering av oppstartsprosessen. Kommunen bruker Microsoft konfigurasjonsmanager for å sende ut oppgraderinger, kjøring av ikkeautoriserte programmer er i hovedsak blokkert og oppdateringer skjer kontinuerlig. Gjennom dette er kommunens håndtering av sikkerhetsoppdateringer tilfredsstillende. Gjennom bruk av programvaresenteret og blokkering av nedlastning/filvedlegg er det revisjonens oppfatning at kommunen deaktiverer unødvendig kode og makroer i autoriserte programmer/applikasjoner. Rekognoseringen av kommunens hoved-domene viste at kommunen bruker en VPN-tjeneste som har hatt en del kjente kritiske sårbarheter, men digitaliseringssjef har informert revisjonen om at de kontinuerlig oppdaterer tjenesten, og at funnet ikke er en reell sikkerhetstrussel for kommunen. Revisjonens vurdering er at det viktigste for å unngå (vellykkede) angrep er hyppig oppdatering og tetting av sikkerhetshull det vil alltid ligge en risiko for sårbarhet i de programvarer kommunen velger å bruke. Det er imidlertid anledning til å be om midlertidig tilgang til filnedlasting, noe som etter revisjonens oppfatning kan være motstridende med anbefalinger om å ikke installere mer funksjonalitet enn nødvendig. Østfold kommunerevisjon iks

161 Det er i tråd med grunnprinsipper for IKT-sikkerhet at virksomhet digitalisering planlegger og dokumenterer endringer gjennom sine rutiner for endringer, og loggføring av gjennomførte endringer i et eget fagsystem. Det er positivt at kommunen tar øyeblikksbilder av systemene, slik at de ved behov kan gå tilbake til en tidligere versjon. Kommunens brannmurer har filtre som automatisk varsler om trusler. Kommunen får også rapporter fra HelseCERT og Allvis NOR. Allvis NOR overvåker all metadata om kommunens internettrafikk. Kommunen gjennomgår ikke logger i brannmurer systematisk, men de analyseres automatisk og fortløpende av brannmurmekanismer. I tillegg til logger i brannmur er det en sikkerhetslogg i windowsmiljøet, og i windows antivirus/antiskadevare programvaren. Videre er det logg på e-post systemet, og i fysiske låsesystem. Alle endringer i Tilgangsportalen blir logget, og kan spores i en egen postboks. Backupsystemet sender ut meldinger om status etter gjennomført backup. Basert på dette er det vår vurdering at kommunen har flere funksjoner som overvåker IKT-systemet, og som varsler kommunen ved mulige og oppdagede trusler. Kommunen loggfører aktivitet på flere områder, som e-post, nettrafikk, tilgangsportalen og backupsystemet. Det kan være en svakhet at loggene ikke gjennomgås jevnlig, men kun ved mistanke om forhold som bør følges opp. Brannmur og antivirus Som det fremkommer i forrige avsnitt, om konfigurering og endringer, loggfører kommunen nettverkstrafikk gjennom sin brannmur. Videre er det satt opp regler for håndtering av trafikk i brannmuren, hvor blant annet fjernstyring av pc blir blokkert. Muren har også en funksjon som spesielt er rettet mot håndtering av tjenestenektangrep. Revisjonens vurdering er at kommunens brannmur i stor grad blokkerer uønsket/ubedt trafikk. Men som nevnt ovenfor kan det være en svakhet at loggfiler ikke er gjenstand for jevnlig gjennomgang. Brannmuren har installert antivirus, og lokalt på stasjonære og bærbare maskiner bruker kommunen Windows defender som antiskadevare-beskyttelse. Antivirus oppdateres jevnlig og kontinuerlig. Vi finner det positivt at kommunen har antivirus i brannmurer og lokalt på enheter. Revisjonen har fått forelagt en oversikt over kommunens brannmur og «demilitariserte soner», samt oversikt over kommunens sikkerhetssoner. Oversikten viser at trafikk inn til kommunen i noen tilfeller passerer flere brannmurer for å komme igjennom. Etter vår oppfatning bidrar dette til økt sikkerhet, og øker sannsynligheten for at kommunen oppdager skadevare. Kommunen har innført tiltak mot phishing, og de har avtaler med HelseCERT hvor de blant annet får informasjon om domenenavn og IP-adresser som anses som ondsinnede/forsøk på svindel og sårbarhetsoversikt over kommunens tjenester som er eksponert på internett, i tillegg til tidligere nevnte avtale med Allvis NOR. Dataangrep de senere årene har dreiet mer mot sosial manipulasjon av ansatte/brukere av systemer, mer enn direkte angrep på systemene. Etter revisjonens oppfatning er det positivt at kommunen har innført egne tiltak mot phishing, for å forsøke å beskytte seg mot slike trusler. På bakgrunn av fremlagt fakta er det revisjonens oppfatning at kommunen i stor grad sikrer seg mot skadevare og ukjente sårbarheter gjennom bruk av antivirus i sin brannmurfunksjonalitet, og lokalt på enheter knyttet til kommunens nett, samt gjennom phishing-tiltak og avtaler med eksterne parter. Østfold kommunerevisjon iks

162 E-post og kryptering Kommunen har flere ledd med kontroll knyttet til e-post. All post som kommer utenfra kommunens nettverk blir skannet av et antivirusprogram, av kommunens brannmur, og i Exchange. Alle vedlegg med eksekverbare filer fjernes. Kommunen har også planer om å implementere ytterligere sikkerhetsmekanismer for sikring av e-postkommunikasjon. Etter revisjonens oppfatning har kommunen beskyttet sin e-post kommunikasjon i flere trinn. Vi registrerer at kommunen på revisjonens tidspunkt ikke har beskyttet e-post med DMARC. Rekognosering av kommunens hoved-domene viste også at kommunen ikke bruker de anbefalte prinsippene for beste praksis når det gjelder e-post-sikkerhet. Flere sikkerhets-protokoller/- teknologier mangler. Kommunen har også planer om å implementere ytterligere sikkerhetsmekanismer i nær fremtid noe revisjonen vurderer som et godt tiltak for økt sikring av e- post kommunikasjon. Kommunens retningslinjer og dokumentasjon sier at lagring kun skal foregå på kommunens servere, ikke lokalt på enheten, men revisjonens vurdering er at det kan være en risiko for at bærbare maskiner inneholder sensitiv informasjon som er lagret lokalt. Sett i lys av dette er det vår oppfatning at kommunen bør vurdere om det kan være behov for å kryptere noen bærbare maskiner slik det fremkommer av prosedyren «Passord». Kommunen krypterer for øvrig sin kommunikasjon over nett, ved bruk av VPN-løsninger for nettbasert tilkobling, og ved at brannmuren kun tillater kommunikasjon med https over internett. Passord og tilgang Fakta viser at kommunen stiller krav til passordstyrke og varighet av passord, og at identitet og passord blir slettet når ansattes relasjon til kommunen opphører. Det er positivt at 2-faktor autentisering er tatt i bruk i ansattportalen, men det er mulig å bruke en webversjon av Outlook hvor dette ikke er tatt i bruk. Revisjonen oppfatter det som positivt at kommunen har planer om å sperre for denne løsningen, eventuelt bør kommunen vurdere å ta i bruk 2-faktor autentisering også her. Alle nyansatte må gjennomføre et e-kurs, før de gis utvidede tilganger i kommunens systemer. Det er mulig å gi utvidede tilganger i systemene uten at e-kurset er ferdigstilt. I vår spørreundersøkelse kommer det frem at over 90 % av respondenter med myndighet til å gi tilganger mener det er litt viktig, viktig eller svært viktig at e-kurset er gjennomført før det gis utvidede tilganger. Kun 2,9 % mener at det ikke er viktig. Det ligger til virksomhetsleder å følge opp at e-kurset er gjennomført. Etter revisjonens oppfatning bidrar det til økt sikkerhet at ansatte må gjennomføre et e-kurs før de får utvidede tilganger i kommunens systemer, men det kan være en svakhet at det er mulig å gi slike tilganger uten at kurset faktisk er gjennomført. På den positive siden mener over 90 % i vår spørreundersøkelse at det er viktig at kurset er gjennomført før de gir tilganger, og vår vurdering er at dette reduserer risikoen for at det faktisk gis utvidede tilganger før e-kurset er gjennomført. Revisjonen mener imidlertid at det kan være en svakhet at det kun er virksomhetsleder som følger opp at e-kurset er gjennomført, og at kommunen bør vurdere implementering av systemkontroll for å sikre at kurset er gjennomført før det gis utvidede tilganger. Vi finner det positivt at det er automatikk i systemet, som fører til at ansatte deaktiveres i tilgangssenteret/tilgangsportalen ved sluttmelding i Visma. Det er vår vurdering at det er risikoreduserende at kommunens systemer opererer atskilt ved at administratorrettigheter i ett system ikke automatisk gjelder i et annet. Videre er det revisjonens oppfatning at det kan være en sikkerhetsrisiko at samtlige brukere har mulighet til å få administratorrettigheter og filnedlastingsrettigheter på egen maskin. Det samme gjelder for tilganger Østfold kommunerevisjon iks

163 til eksterne leverandører. Vi anser risikoene som redusert ved at slik tilgang nullstilles etter kort tid. Vår vurdering er at det også er et godt sikkerhetstiltak at kommunen ved behov bruker flere brukeridenter til samme ansatt. Ved at den ordinære/daglige brukeridenten ikke har administratorrettigheter kan man unngå at det skjer utilsiktede feil. Kommunen har retningslinjer for informasjonssikkerhet hvor det fremkommer at hvert større fagsystem har en løsningsansvarlig, og at ansvar for vedlikehold og ajourhold av tilganger ligger til denne rollen. Revisjonen har imidlertid fått opplyst fra kommunen at dette ansvaret ligger til virksomhetsleder, og den som gir tilgang i tilgangsportalen. Vår vurdering er at det kan være noe vanskelig å forstå hvem som faktisk har dette ansvaret, og som skal gjøre den jevnlige vurderingen av behov for tilganger. Vi mener at det kan være hensiktsmessig å vurdere behovet for en sentral oppfølging av at tilganger blir gjennomgått jevnlig. Ved rekognosering av kommunens hoved-domene var flere kommunale e-post/passordkombinasjoner tilgjengelige på nett. Kommunen har informert revisjonen om at det er lite sannsynlig at passordet i kombinasjonen tilsvarer brukerens kommunale passord og om det er det vil ikke passordet være gyldig til kommunens systemer i mer enn maks tre måneder jf. passordprosedyre. Kommunens tiltak mot phishing forhindrer at den e-post/passord-kombinasjon som brukes til kommunens systemer, blir brukt andre steder på nett. Revisjonens vurdering er at risikoen for at riktig og gyldig e-post/passord-kombinasjon kommer på avveie, reduseres av phishing-tiltak og kommunens krav til hyppig endring av passord. Fysisk tilgang Fakta viser at kommunen har rutiner som sikrer at alle servere i kommunen, som inneholder sensitive opplysninger, er plassert i godkjente datarom. Datarommet er beskyttet med kodelås, fysisk sikring og alltid avlåst når personell ikke er til stede. Adgang til serverrommene er styrt gjennom kommunens generelle adgangssystem, slik at de som har administratorrettigheter i adgangssystemet også har mulighet til å gi tilganger til alle områder/dører. Revisjonen anser det som en mulig svakhet at det ikke er virksomhet digitalisering som styrer systemet som fysisk sikrer kommunens servere. Vi er også av den oppfatning at det kan ligge risiko i at alle som har administratorrettigheter i adgangssystemet kan gi adgang til serverrom. Risikoen reduseres noe av at systemet loggfører aktivitet, men det kan være grunn til å vurdere om det er mulig å redusere risikoen ytterligere. Annet Rekognosering av kommunens hoved-domene viste at informasjon om alle kommunens ansatte ligger tilgjengelig på nett. Kommunen har opplyst revisjonen at dette er gjort av hensyn til åpenhet i offentlig sektor. Revisjonens vurdering er at selv om publisering av e-post adresser og navn er en mulig sikkerhetstrussel mot kommunens IKT-systemer, ser vi at dette også må vurderes opp mot grad av offentlighet/åpenhet. Kommunen har Facebook som den mest brukte sosiale plattformen, og den som kan være den største sikkerhets-sårbarheten for kommunen. Kommunen har også applikasjoner for håndholdte enheter, som kommunen har opplyst revisjonen om at ikke går mot kommunens domene. Revisjonens oppfatning er at tilstedeværelse på sosiale medier alltid vil medføre en viss økt risiko for angrep, men risikoen må veies opp mot hvor kommunen ønsker å møte sine innbyggere, og hvor Østfold kommunerevisjon iks

164 innbyggerne befinner seg. Når det gjelder applikasjoner er vår vurdering at kommunen virker å ha kontroll på at det ikke er mulig å komme seg inn til kommunens systemer gjennom disse plattformene. Østfold kommunerevisjon iks

165 5. INTERNKONTROLL Har kommunen etablert et tilfredsstillende styringssystem (internkontroll) for informasjonssikkerhet? 5.1. Revisjonskriterier Basert på gjeldende regelverk, har revisjonen utledet følende kriterier for denne problemstillingen 32 : Det er fastsatt overordnede målsettinger for informasjonssikkerhet i kommunen. Det er utarbeidet en overordnet strategi for å nå målene på området. Strategien gjennomgås jevnlig, og oppdateres ved behov, for å sikre at den til enhver tid er i samsvar med kommunens behov. Det er etablert og beskrevet klare ansvars- og myndighetsforhold for kommunens informasjonssikkerhetsarbeid. Kommunen har rutiner og retningslinjer for risikovurdering og risikohåndtering knyttet til informasjonssikkerhet. Kommunen dokumenterer prosessene rundt risikohåndtering og resultatene fra håndtering av informasjonssikkerhetsrisikoene og resultat av korrigerende tiltak. Informasjonssikkerheten i kommunen overvåkes etter definerte mål og metoder, og resultatene analyseres og evalueres. På et overordnet nivå, følger kommunen opp at informasjonssikkerheten blir ivaretatt i tråd med lov og forskrift, og øvrig internt og eksternt regelverk på området Fakta Sikkerhetsmål og strategi for informasjonssikkerhet I IT-sikkerhetsreglement for Fredrikstad kommunes digitaliseringsavdeling fremkommer det at kommunens overordnede sikkerhetsmål er å ivareta konfidensialitet, integritet og tilgjengelighet for alle fysiske og elektroniske informasjonsverdier i institusjonen, for å sikre at regulative, virksomhetsmessige og kontraktsmessige krav blir oppfylt. Kommunen har et dokument med mål for området 33. Videre har kommunen et dokument hvor roller, myndighet og ansvar for personvern- og informasjonssikkerhetsarbeidet blir beskrevet, samt retningslinjer for personvern og informasjonssikkerhet (versjon 3 er sist godkjent i desember 2019). 34 Ansvar og myndighet I prosedyren «Organisering av personvern- og informasjonssikkerhetsarbeidet» fremkommer det at personvernombudet har ansvar for koordinering av sikkerhetsoppgavene i kommunen. Det betyr blant annet ansvar for kvalitetssikring av rutiner, ansvar for at avvikshåndtering iverksettes i de ulike enhetene, tilrettelegging av ledelsens gjennomgang, initiativtaker til egenkontroll og revisjon mm. 32 Se vedlegg for utledning. 33 «Sikkerhetsmål». 34 «Organisering av personvern- og informasjonssikkerhetsarbeidet». Østfold kommunerevisjon iks

166 Rådmannen har det overordnede sikkerhetsansvaret, og skal utpeke medlemmer til sikkerhetsutvalget og personvernombud. Prosedyren legger også føringer for digitaliseringssjefens ansvarsområder, systemeiere, virksomhetsledere, sikkerhetsutvalg og den enkelte medarbeider i kommunen. Både personvernombuds og digitaliseringssjefens ansvar og myndighetsområde blir i tillegg presisert i en egen prosedyre. 35 I de overfor nevnte retningslinjene for personvern og informasjonssikkerhet er det også beskrevet ansvarsfordeling. Det er ikke gjennomført årlige ledergjennomganger av sikkerhetsmål, sikkerhetsstrategi og organisering av informasjonssystemene, men dette skulle ha vært gjort. Risikovurdering og risikohåndtering Kommunen har utarbeidet prosedyre for risikovurdering av informasjonssikkerhet og personvern. Her fremgår det at kommunen skal risikovurdere sin behandling av personopplysninger. Formålet er å sikre at den risikoen som avdekkes ved behandling av personopplysninger, er innenfor de akseptkriterier kommunen har fastlagt. Risikovurderingen danner grunnlag for iverksetting av nødvendige sikkerhetstiltak, og inngår i underlaget for ledelsens gjennomgang av informasjonssystemet og informasjonssikkerheten. Den som er daglig ansvarlig har på vegne av rådmann ansvar for å iverksette risikovurdering. Sikkerhetsleder/personvernombud, IT-driftsansvarlig, løsningsansvarlige og linjeledere plikter å melde fra om behov for å gjennomføre risikovurdering. Risikovurderinger skal gjennomføres av virksomhetsledere/daglig ansvarlige i Fredrikstad kommune med mulig bistand fra IT-driftsansvarlig og sikkerhetsleder/personvernombud. Risikoen vurderes og dokumenteres i kvalitetssystemet i egen modul for dette. Resultat fra vurderingen rapporteres til sikkerhetsleder og i årlige ledelsesgjennomganger. Risikovurderinger skal gjennomføres før behandling av helse- og personopplysninger igangsettes, og ved endringer som kan berøre informasjonssikkerheten (eksempelvis endringer i informasjonssystemet eller i det generelle risikobildet). Risikovurderingen skal gi følgende resultat: oversikt over identifiserte trusler angivelse av sannsynlighet for at en uønsket hendelse kan inntreffe angivelse av konsekvenser av en uønsket hendelse resultat fra analyse av sikkerhetstiltakenes effekt i forhold til risiko Ved innføringen av GDPR 36 i mai 2018 sendte kommunen ut et rundskriv med informasjon om risikovurdering i kommunen. Det finnes dokumentasjon på gjennomførte risikovurderinger. Det gjennomføres ikke kontroller av hvorvidt virksomhetene har gjennomført slike vurderinger, men det er flere virksomheter som ikke har foretatt risikovurderinger. Kommunen har en egen prosedyre for registrering av avvik som gjelder personvern. 37 Avviksbehandling skal i henhold til prosedyren, iverksettes ved sikkerhetsbrudd og/eller når 35 «Digitaliseringssjefens ansvar og myndighetsområde» av og «Sikkerhetsleder Personvernombud» av General Data Protection Regulation. På norsk: personvernforordningen. En forordning som skal styrke og harmonisere personvernet ved behandling av personopplysninger i EU. 37 Østfold kommunerevisjon iks

167 oppgaver er utført i strid med de prosedyrer som er besluttet. Alle avvik meldes automatisk til nærmeste leder, og grove avvik drøftes i sikkerhetsutvalget og meldes til Datatilsynet. Personvernombud opplyser om at ansvaret for gjennomføring av risikovurderinger knyttet til informasjonssikkerhet er delegert til den enkelte virksomhet/etat i kommunen. Personvernombud kan dermed ikke svare på hvor ofte og i hvilke tilfeller det gjennomføres slike risikovurderinger. Kommunen har ifølge personvernombud et eget system for risikovurdering. I kvalitetssystemet ligger også brukerveiledning til systemet. Personvernombud deltar i risikovurderingen dersom virksomhetene ønsker det. Resultater av håndtering av informasjonssikkerhetsrisiko, og resultater av korrigerende tiltak legges i kvalitetssystemet, og er ifølge personvernombud tilgjengelig i linja. Måling, evaluering, revisjon og overvåking På spørsmål om hvordan effekten av styringssystemet for informasjonssikkerhet måles vises det til at alle ansatte og spesielt de med roller innen IT-sikkerhet benytter kvalitetssystemet for å melde avvik. Avvik håndteres for å kunne få spesielt fokus på sikkerhet. Både Kommunedirektørens sikkerhetsråd og digitaliseringsavdelingens sikkerhetsråd har avvikene oppe til vurdering. Samtidig tas alle avvik opp i organisasjonens samarbeidsutvalg i hver seksjon. På bakgrunn av dette iverksettes tiltak for å forbedre området. I tillegg har Digitaliseringsavdelingen utstrakt kontakt med brukerorganisasjonen. Meldinger som tilflyter IT-service, registreres i avdelingens fagsystem og tas opp i Sikkerhetsrådet. Digitaliseringsavdelingen gjennomgår kontinuerlig rutiner/prosedyrer/dokumenter Vurderinger Kommunens overordnede sikkerhetsmål fremkommer av IT-sikkerhetsreglementet til kommunens digitaliseringsavdeling. Kommunen har ingen overordnet strategi for å sikre at målene nås, men har retningslinjer som skal bidra til effektiv og sikker bruk av datasystemene, og sikker håndtering av all behandling av personopplysninger, som sist er godkjent i desember Fakta viser at kommunen har flere dokumenter som, i ulikt omfang, omtaler ansvar og myndighet knyttet til informasjonssikkerhetsarbeid. Med flere dokumenter som omhandler det samme, er det etter vår vurdering en risiko for at rutinene har et ulikt eller utdatert innhold, og vi er derfor usikre på om rutinene i stor nok grad oppfattes som klare. Kommunen har prosedyre for gjennomføring av risikovurdering knyttet til informasjonssikkerhet. Prosedyren redegjør for hvem som har ansvar for å melde ifra om behov for risikovurdering, i hvilke tilfeller det skal gjennomføres og hvordan og hvem som skal utføre vurderingen. Kommunen har et eget system for risikovurdering, og brukerveiledning til systemet ligger tilgjengelig i kvalitetssystemet. Dette finner revisjonen positivt. Selv om kommunen har prosedyrer for risikovurdering er det imidlertid revisjonens oppfatning at kommunen ikke i tilstrekkelig grad har sikret seg at risikovurderinger gjennomføres. Vi legger til grunn at kommunen ikke har hatt årlige ledelsesgjennomganger, som er en arena for å fange opp eventuelt manglende vurderinger, og kommunen har heller ikke etablert andre kontroller av hvorvidt risikovurderinger faktisk er gjennomført. Med kunnskap om at risikovurderinger ikke er gjennomført fullt ut, kan vi heller ikke si at kommunen i tilstrekkelig grad har sørget for at prosessene rundt risikovurderinger er dokumentert. Ved å gjennomføre systematiske risikovurderinger vil kommunen i større grad få oversikt over svakheter i den eksisterende internkontrollen og kunne innrette sine Østfold kommunerevisjon iks

168 kontrolltiltak, herunder rutiner og retningslinjer, på en måte som i størst mulig grad vil kunne hindre svikt. Kommunen benytter blant annet avviksrapportering til å følge med på informasjonssikkerheten i kommunen. Etter revisjonens oppfatning finnes det imidlertid ikke informasjon som tilsier at kommunen har en systematisk tilnærming til arbeidet med å overvåke informasjonssikkerheten i kommunen og sørge for etterlevelse av lovverk på området. Kommunen bør kontrollere at rutinene for håndtering av personopplysninger brukes og fungerer etter hensikten, herunder jevnlig teste, vurdere og evaluere hvor effektive sikkerhetstiltakene er. Østfold kommunerevisjon iks

169 6. ANSATTES KJENNSKAP TIL RUTINER OG RETNINGSLINJER I hvilken grad har de ansatte kjennskap til retningslinjer og rutiner for informasjonssikkerhet? 6.1. Revisjonskriterier Revisjonen har utledet følgende kriterier for denne problemstillingen 38 : Det gjennomføres kompetansetiltak som bidrar til at medarbeidere som bruker kommunens informasjonssystemer, har tilstrekkelig kompetanse til å ivareta kommunens sikkerhetsbehov, og til å ivareta gjeldende krav og føringer for informasjonssikkerhet. De ansatte kjenner til kommunens informasjonssikkerhetspolicy/overordnet strategi for informasjonssikkerhet. De ansatte har fått opplæring i rutiner, sikkerhetsprosedyrer og riktig bruk av informasjonssystemer. De ansatte kjenner til kommunens egne rutiner og prosedyrer for informasjonssikkerhet. De ansatte har undertegnet en taushetserklæring ved inngåelse av arbeidsforholdet Fakta Kompetansetiltak Kommunens retningslinjer for personvern og informasjonssikkerhet har til hensikt å bidra til effektiv og sikker bruk av datasystemene, og sikker håndtering for all behandling av personopplysninger. Retningslinjene gjelder for alle medarbeidere som behandler personopplysninger, og påpeker «Som medarbeider i Fredrikstad kommune er det viktig at du har kjennskap til kommunens kvalitetssystem for informasjonssikkerhet og personvern. Du skal være kjent med hvem som har ansvar for hva i sikkerhetsarbeidet, du skal ha kjennskap til hvilke mål og strategier vi sammen skal jobbe etter, du skal være kjent med og forstå de prosedyrer og retningslinjer som er besluttet, og kommunen er avhengig av at alle medarbeidere bidrar til å melde fra om avvik ved brudd på gjeldende sikkerhetstiltak.» Ifølge retningslinjene er innføring i sikkerhet og sikkerhetsrutiner en del av introduksjonsprogrammet for nye medarbeidere. E-læringskurs er tidligere omtalt- Kommunen har ikke på et overordnet nivå kartlagt kompetansebehov blant ansatte som utfører arbeid som kan påvirke informasjonssikkerheten eller dokumentert gjennomførte kompetansetiltak. Nyansatte får opplæring om internkontroll og informasjonssikkerhet via E-læring. Systemet fungerer slik at virksomheten kan sjekke om det er gjennomgått av den ansatte før utvidede tilganger gis. I ettertid av opplæringen er det, ifølge retningslinjene, den enkelte ansattes ansvar å holde seg oppdatert, og følge opp og praktisere vedtatte rutiner og sikkerhetstiltak. Dette innebærer også en årvåkenhet i det daglige, og til å varsle gjennom avviksmelding dersom uregelmessigheter oppdages. Kommunen sørger for at alle ansatte har lest retningslinjene for informasjonssikkerhet og personvern ved at hver enkelt ansatt signerer et skjema hvor de bekrefter å ha lest og forstått retningslinjene. Dette skjemaet legges i personalmapper etter signering. 38 Se vedlegg for utledning Østfold kommunerevisjon iks

170 Når det gjelder kommunikasjon, har kommunen rutiner og retningslinjer for både intern og ekstern kommunikasjon. Disse ligger på intranettet, samt noe i kvalitetssystemet. Rutinene og retningslinjene tar for eksempel for seg lagring i skyløsning og bruk av e-post. Ekstern og intern kommunikasjon er også omtalt i retningslinjer for informasjonssikkerhet og personvern som alle nyansatte skal lese og signere på at de har lest. Revisjonen har undersøkt hvor godt de ansatte kjenner til de mest aktuelle rutinene og retningslinjene. Denne undersøkelsen blir presentert i neste kapittel. Kjennskap til kommunens informasjonssikkerhetspolicy Figuren nedenfor viser hvorvidt respondentene mener de har fått informasjon om kommunens krav og forventninger til informasjonssikkerhet. Figur 6: «Har du fått informasjon om kommunens krav og forventninger til informasjonssikkerhet?» 35,9% 31,7% 13,9% 18,5% Nei Ja, for mer enn ett år siden Ja, for under ett år siden Vet ikke Antall respondenter: 1303 Som figur 6 viser, oppgir over halvparten at de har fått informasjon om kommunens krav og forventninger til informasjonssikkerhet. 35,9 prosent har fått informasjonen for mer enn ett år siden, og 18,5 prosent for under ett år siden. Opplæring i rutiner, sikkerhetsprosedyrer og riktig bruk av informasjonssystemer Som vist til innledningsvis, får nyansatte i kommunen, opplæring om internkontroll og informasjonssikkerhet via E-læring. Systemet fungerer slik at virksomheten skal/kan sjekke om det er gjennomgått av den ansatte før utvidede tilganger gis. I ettertid av opplæringen er det ifølge retningslinjene, den enkelte ansattes ansvar å holde seg oppdatert, og følge opp og praktisere vedtatte rutiner og sikkerhetstiltak. Figurene nedenfor viser svar på spørsmål knyttet til opplæringen. Østfold kommunerevisjon iks

171 Figur 7: «Har du fått opplæring i rutiner og prosedyrer for informasjonssikkerhet?» 51,0% 28,9% 20,1% Antall respondenter: 1303 Ja Nei Vet ikke Figur 7 viser at over halvparten av respondentene i spørreundersøkelsen mener de ikke har fått opplæring i rutiner og prosedyrer knyttet til informasjonssikkerhet. Ansatte som svarte at de hadde fått denne opplæringen, ble spurt om når denne opplæringen ble gitt. Figur 8: «Når fikk du denne opplæringen?» 31,1% 42,6% 17,3% 9,0% Før jeg fikk tilgang til kommunens systemer Etter jeg fikk tilgang til kommunens systemer Både før og etter jeg fikk tilgang til kommunens systemer Vet ikke Antall respondenter: 376 Figur 8 viser at opplæring blir gitt både før og etter at tilganger er utdelt. I spørreundersøkelsen ble respondentene gitt muligheten til å kommentere kommunens arbeid med informasjonssikkerhet og personvern. Flere bekreftet i kommentarene at der er behov for mer opplæring. Figuren nedenfor viser hvorvidt de ansatte, som har fått opplæring innen informasjonssikkerhet, selv mener at de har fått tilstrekkelig med opplæring. Østfold kommunerevisjon iks

172 Figur 9: Mener du at du har fått tilstrekkelig med opplæring innenfor informasjonssikkerhet? 34,7% 40,8% 15,4% 8,2% 0,8% Ja, det mener jeg Ja, men skulle gjerne hatt mer Nei, jeg har ikke fått tilstrekkelig opplæring Vet ikke Annet Antall respondenter: 377 Figur 9 viser at om lag en tredjedel mener de har fått tilstrekkelig opplæring, mens over halvparten ønsker mer opplæring eller mener at opplæringen ikke har vært tilstrekkelig. Kjennskap til kommunens egne rutiner og prosedyrer for informasjonssikkerhet Vi har spurt de ansatte om kjennskap til kommunens prosedyrer for informasjonssikkerhet. Nedenfor følger flere figurer som sier noe om de ansattes kjennskap til de aktuelle rutinene og prosedyrene. Som vist til innledningsvis skal kommunen sørge for at alle ansatte har lest retningslinjene for informasjonssikkerhet og personvern, ved at hver enkelt ansatt signerer et skjema hvor de bekrefter å ha lest og forstått retningslinjene. Figur 10: «Har du lest "Retningslinjer for informasjonssikkerhet og personvern i Fredrikstad kommune", og signert på at du forplikter deg til å etterleve disse retningslinjene?» 33,8% 26,1% 40,1% Antall respondenter: 1303 Ja Nei Vet ikke Figur 10 viser at en tredjedel av respondentene har lest og signert retningslinjene. De resterende respondentene svarer Nei eller vet ikke på spørsmålet. Kommunen har en prosedyre for bruk av e-post, som finnes i kvalitetssystemet. IT-ansvarlig opplyser om at deler av prosedyren er utdatert. 39 Figuren nedenfor sier noe om hvor godt respondentene kjenner til prosedyren. 39 Gjelder rutinens oppfordring om å ikke sende e-post umiddelbart. Østfold kommunerevisjon iks

173 Figur 11: «Kjenner du til kommunens prosedyre vedrørende bruk av e-post?» 48,9% 17,9% 15,4% 11,1% 6,8% Kjenner ikke til prosedyre om e- post Kjenner til at det finnes en prosedyre, men har ikke kunnskap om den Kjenner til prosedyre om e- post, og har noe kunnskap om den Kjenner svært godt til prosedyre om e- post Vet ikke Antall respondenter: 1299 Figur 11 viser at over halvparten av respondentene har kunnskap om denne prosedyren. I kommunens prosedyre for bruk av e-post står det følgende om bruk av e-post til private gjøremål: «I Fredrikstad kommune tillates at våre medarbeidere kan benytte e-posten sin til små og tidsbegrensede private gjøremål.» Prosedyren beskriver også hva som ikke er tillatt når det gjelder bruk av e-post til private gjøremål: «Det er ikke tillatt å delta i nyhetsgrupper/ lister eller på andre måter offentliggjøre din adresse på Internett (f.eks. Facebook). Dersom dette tillates anbefales det å opprette en egen adresse som lett kan stenges.» Revisjonen har spurt de ansatte om de benytter e-posten til private gjøremål. Figuren nedenfor viser hva respondentene svarte. Figur 12: «Hender det at du benytter e-posten til private gjøremål? Du kan velge flere svaralternativer.» 60,3% 13,1% 7,2% 6,3% 12,3% 3,2% 11,4% Nei, aldri Ja, til å gjøre avtaler med familie og/eller venner Ja, til å bestille time hos behandler, lege, frisør eller annet Ja, som brukernavn på nettsider Ja, til å motta nyhetsbrev eller lignende som ikke er jobbrelatert Vet ikke Annet Antall respondenter: 1300 Figur 12 viser at 60,3 % aldri benytter e-posten til private gjøremål. Av de respondentene som benytter e-posten til private gjøremål svarer de fleste at de benytter den til å gjøre avtaler med familie/venner eller til å motta nyhetsbrev eller lignende som ikke er jobbrelatert. Østfold kommunerevisjon iks

174 Revisjonen har spurt de ansatte om de melder fra til IT-service dersom de mottar en e-post som kan se ut til å være spam (søppelpost), eller et svindelforsøk. Figur 13: «Hvis du mottar e-post du mistenker for å være spam (søppelpost), eller et svindelforsøk - hvor sannsynlig er det at du sier ifra til IT-avdelingen?» 41,6% 25,1% 16,7% 12,2% 4,4% Svært sannsynlig Noe sannsynlig Lite sannsynlig Sannsynligvis ikke Vet ikke Antall respondenter: 1299 Figur 13 viser at 41,6 % av respondentene mener det er svært sannsynlig at de ikke vil melde fra til ITavdelingen (virksomhet digitalisering) ved spam eller svindelforsøk. Revisjonen har som nevnt tidligere i rapporten, utført et phishingforsøk for å undersøke om ansatte la inn brukernavn og passord i oversendt påloggingsvindu. E-posten ble sendt til 100 ansatte og ga ingen negative resultater. Kommunen har en rutine for hvordan de skal håndtere spam/phishing. Dersom IT-service får varsel fra brukere om mistenkelig e-post skal de varsle IT-drift som iverksetter tiltak for å få bukt med problemet. Kommunen har informert revisjonen om at denne rutinen ikke ble iverksatt under phishing-testen, og at de fikk rundt 15 tilbakemeldinger på at e-posten virket mistenkelig. Kommunen har i senere tid åpnet for deling og lagring av dokumenter i skyløsinger, og fikk i oktober 2018 egne retningslinjer for dette. I figuren nedenfor vises hvorvidt respondentene i spørreundersøkelsen er kjent med disse retningslinjene. Figur 14: Kjenner du til "Retningslinjer for lagring på eksterne nettsteder - fildelingstjenester"? 54,9% 18,7% 16,3% 2,9% 7,2% Kjenner ikke til retningslinjene Kjenner til at det Kjenner til finnes retningslinjene, og retningslinjer, men har noe kunnskap har ikke kunnskap om dem om dem Kjenner retningslinjene svært godt Vet ikke Antall respondenter: 1303 Figur 14 viser at over halvparten av respondentene ikke kjenner til disse retningslinjene. Østfold kommunerevisjon iks

175 Kommunen har en egen prosedyre som gjelder sikring av utstyr som benyttes ved behandling av sensitive personopplysninger (arbeidsstasjoner og skrivere, samt kopimaskiner og telefaksmaskiner). 40 Figuren nedenfor viser hvorvidt spørreundersøkelsens respondenter kjenner til denne prosedyren. Figur 15: Er du kjent med prosedyren "Adgang til utstyr"? 74,6% 9,6% 6,0% 1,6% 8,2% Kjenner ikke til prosedyren Kjenner til at det finnes en prosedyre, men har ikke kunnskap om den Kjenner til prosedyren, og har noe kunnskap om den Kjenner svært godt til prosedyren Vet ikke Antall respondenter: 1303 Figur 15 viser at 74,6 % av respondentene ikke kjenner til prosedyren. Revisjonen ønsket også å vite hvor stor andel av respondentene som disponerer en bærbar PC, ipad eller lignende, som eies av kommunen. Figur 16: Disponerer du bærbar pc, ipad eller lignende, som eies av Fredrikstad kommune? 55,9% 43,1% Antall respondenter: 1303 Figur 16 viser at over halvparten av respondentene disponerer jobb-pc, jobb-ipad eller lignende. I kommunens prosedyre «Adgang til utstyr» står det følgende om sikring av bærbart utstyr: «Bærbare PC-er skal ikke lånes ut til uvedkommende. Dette forbudet gjelder også utlån til familiemedlemmer.» I figuren nedenfor vises respondentenes svar vedrørende utlån av bærbart utstyr. 1,0% Ja Nei Vet ikke 40 «Adgang til utstyr» godkjent Østfold kommunerevisjon iks

176 Figur 17: Har det hendt at noen andre har brukt utstyret? Samboer, ektefelle, barn eller lignende? 91,2% 8,3% 0,6% Antall respondenter: 727 Ja Nei Vet ikke Som figur 17 viser, har det hendt at 8,3 prosent av respondentene har lånt bort utstyret sitt til andre, for eksempel i familien. 8,3 prosent utgjør her 60 ansatte. Kommunen fikk i juni 2019 en egen prosedyre for melding av avvik som gjelder personvern. Ifølge prosedyren skal avviksbehandling iverksettes ved sikkerhetsbrudd og/eller når oppgaver er utført i strid med de prosedyrer som er besluttet. Ifølge prosedyren, har alle brukere ansvar for å registrere avvik i avviksmodulen i kvalitetssystemet. Figuren nedenfor viser respondentenes svar på hvorvidt de kjenner til avviksprosedyren Figur 18: Kjenner du til kommunens prosedyre "Avvik personvern"? 50,8% 19,6% 20,6% 3,6% 5,3% Kjenner ikke til prosedyren Antall respondenter: 1294 Kjenner til at prosedyren finnes, men har ikke kunnskap om den Kjenner til prosedyren, og har noe kunnskap om den Kjenner svært godt til prosedyren Vet ikke Figur 18 viser at halvparten av respondentene ikke kjenner til prosedyren. Revisjonen har også spurt respondentene om de har fått opplæring i rapportering av avvik i informasjonssystemene. Figurene nedenfor viser svarene. Figur 19: Har du fått opplæring i rapportering av avvik i informasjonssystemene? 47,3% 19,1% 20,8% 12,7% Nei Ja, for mindre enn to år siden Ja, for mer enn to år siden Vet ikke Antall respondenter: 1295 Østfold kommunerevisjon iks

177 Figur 19 viser at i underkant av halvparten av respondentene mener at de heller ikke har fått opplæring i rapportering av avvik i informasjonssystemene. Kommunen hadde i 2019 et personvernombud i 50 prosent stilling, organisert under seksjon for økonomi og organisasjonsutvikling. Ifølge kommunens handlingsplan for er det ikke satt av midler til en større stilling i perioden, men seksjonen vil følge med på utviklingen og vurdere om denne stillingen må økes til 100 prosent. Figuren nedenfor viser hvor stor andel av spørreundersøkelsens respondenter som vet hvem som er personvernombud. Figur 20: «Vet du hvem som er kommunens personvernombud?» 77,3% 22,7% Antall respondenter: 1303 Ja Nei Figur 20 viser at 77,3 % av respondentene ikke vet hvem som er personvernombud i kommunen. Taushetserklæring for ansatte Digitaliseringssjef informerer om at kommunen har gått bort fra bruk av taushetserklæring som eget dokument. Taushetserklæringen ligger implisitt i arbeidskontrakten. Regler for taushetsplikt er også beskrevet i kommunen retningslinjer for personvern og informasjonssikkerhet for ansatte Vurderinger Fakta viser at det blir gjennomført kompetansetiltak. Kommunen har imidlertid ikke foretatt en overordnet kartlegging av kompetansebehovet blant ansatte som utfører arbeid som kan påvirke informasjonssikkerheten. Gjennomførte kompetansetiltak dokumenteres heller ikke noe spesielt sted. Etter revisjonens oppfatning vil man gjennom å kartlegge kompetansebehov, i større grad kunne tilpasse opplæringen og sørge for at ansatte får den opplæringen de har behov for. Samtidig vil dette legge til rette for at kommunen også kan dokumentere sitt arbeid med kompetanseheving. Kommunens retningslinjer for informasjonssikkerhet stiller krav til at medarbeidere skal være kjent med kommunens kvalitetssystem for informasjonssikkerhet. Videre stilles det krav til at medarbeidere vet hvem som har ansvar for hva i sikkerhetsarbeidet, hvilke mål og strategier det skal jobbes etter, hvilke retningslinjer og prosedyrer som er besluttet og at medarbeidere melder avvik ved brudd på gjeldende sikkerhetstiltak. Innføring i sikkerhet og sikkerhetsrutiner er ifølge retningslinjene en del av introduksjonsprogrammet for nye medarbeidere. Nyansatte får også opplæring om internkontroll og informasjonssikkerhet via E-læring. Systemet fungerer slik at aktuell leder kan sjekke om E-læringen er gjennomgått, før tilganger gis. Kommunen sørger for at alle ansatte har lest retningslinjene for informasjonssikkerhet, ved at de ansatte signerer et skjema hvor Østfold kommunerevisjon iks

178 de bekrefter å ha lest disse. Etter revisjonens oppfatning har kommunen etablert en rekke tiltak som vil kunne sikre medarbeiderne kunnskap om kommunens rutiner og retningslinjer for informasjonssikkerhet. I ettertid av opplæringen er det ifølge retningslinjene, medarbeideren selv som skal sørge for å holde seg oppdatert. I dette perspektivet, er det, etter revisjonens oppfatning spesielt viktig å sørge for at planer, rutiner og retningslinjer på området er lett tilgjengelig, klare og tydelige. Som nevnt i de foregående vurderingene fremstår kommunens dokumentasjon på området som noe uoversiktlig. Slik revisjonen ser det har ikke kommunen i stor nok grad lagt til rette for at medarbeiderne selv skal kunne holde seg oppdatert på hva som er gjeldende. Ved bruk av spørreundersøkelse har vi sett nærmere på de ansattes opplevelse av egen kjennskap og kunnskap om aktuelle rutiner og retningslinjer, og behovet for opplæring. Revisjonen har stilt en rekke spørsmål til respondentene. Undersøkelsen har en svarprosent på 15,95. Antall respondenter er høyt 1303 ansatte har besvart, og vi mener at resultatene gir et godt innblikk i mange ansattes oppfatninger. Etter vår vurdering viser resultatene at flere ansatte opplever at de har fått opplæring og at de har en viss kompetanse knyttet til informasjonssikkerhet. Samtidig kan spørreundersøkelsen også indikere at kommunen har et ganske stort behov for kompetanseheving på feltet. Vi legger blant annet til grunn at 51 % av respondentene svarer at de ikke har fått opplæring i rutiner og retningslinjer vedrørende informasjonssikkerhet og en tredjedel vet ikke om de har fått informasjon om kommunens krav og forventninger til informasjonssikkerhet. Revisjonen har også stilt spørsmål om praksis opp mot innhold i kommunens rutiner, og også her viser resultatene at flere ansatte har en praksis i strid med kommunens rutiner og retningslinjer. Etter revisjonens oppfatning kan det være hensiktsmessig om kommunen foretar en gjennomgang av resultatene fra undersøkelsen i sin helhet, og vurderer om kompetansehevingstiltak kan settes inn på områdene hvor resultatene indikerer høyest risiko for svikt opp mot egne rutiner, eventuelt vurdere innholdet i rutinene som ikke etterleves. Østfold kommunerevisjon iks

179 7. KONKLUSJONER OG ANBEFALINGER Planer og rutiner Faktagrunnlaget i vår rapport viser at kommunen i hovedsak har tilfredsstillende planer og rutiner for håndtering av IKT-sikkerhetsmessige situasjoner, herunder varsling fra ansatte. Kommunens beredskapsplan for alvorlige driftssituasjoner, vedlikehold av infrastruktur og prosedyrer for ulike driftsstans-kategorier vil kunne dekke de fleste forhold som kan føre til driftsavbrudd i kommunens IKT-systemer. Det er positivt at kommunen involverer sikkerhetsmyndigheter ved behov, men dette er ikke nedfelt skriftlig i kommunens planer og rutiner noe vi mener ville vært en fordel. Det er også positivt at kommunen siden 90-tallet har gjennomført ROS-analyser for IT-sikkerhet. Vi anser det likevel som mangelfullt at det ikke er utarbeidet en overgripende beredskapsplan for håndtering av IKT-sikkerhetsmessige situasjoner basert på denne analysen. Sikkerhetstiltak Våre undersøkelser viser at kommunen har etablert en rekke sikkerhetstiltak av sine datasystemer mot cyberangrep, som i hovedsak tilfredsstiller kravene i våre revisjonskriterier. Revisjonen har likevel avdekket enkelte forbedringsområder. I hovedsak gjelder dette at dokumentasjon på området er delvis overlappende, samtidig som flere dokumenter er under revisjon, og at det kan se ut til å være en sammenblanding av personvern og IT-sikkerhet i kommunens prosedyrer. Vi har derfor vurdert at kommunen ikke i stor nok grad har kommunisert innholdet i sin sikkerhetsstyring på en tydelig nok måte slik at det er lett forståelig for de ansatte. Vi mener også at det innebærer risiko at sluttbrukere kan be om midlertidig tilgang til filnedlasting. Etter vår oppfatning åpner det opp for at det installeres mer funksjonalitet enn nødvendig på enheten, og risikoen for at skadelig programvare får tilgang til kommunens systemer øker. I dag gjennomgås loggfiler kun ved mistanke om forhold som bør følges opp. Etter vår oppfatning vil en jevnlig gjennomgang av loggfiler kunne føre til oppdagelse av mistenkelig aktivitet på et tidligere tidspunkt. Som rekognoseringen av kommunens hoved-domene, og samtaler med kommunen viste, bruker ikke kommunen på tidspunkt for revisjon de anbefalte prinsipper for beste praksis ved e-post-sikkerhet. Det kan videre være en risiko for at data blir lagret lokalt på bærbare enheter. Det øker risikoen for uautorisert tilgang til kommunens systemer når ikke 2-faktor autentisering er tatt i bruk på alle flater der de ansatte eksternt skal koble seg til kommunens systemer. Vår spørreundersøkelse viser at det kan være tilfeller der det gis utvidede tilganger uten at e-kurset er bestått/gjennomført. Det kan være en risikofaktor at det ikke er implementert systemkontroll for å sikre at kurset er gjennomført før den ansatte får utvidede tilganger. Det kan også være hensiktsmessig å vurdere behov for en sentral oppfølging av at tilganger blir gjennomgått på jevnlig basis. Eventuelt kan kommunen vurdere å tydeliggjøre ansvaret i sine rutiner på området. Når det gjelder fysisk tilgang til kommunens servere, er vår oppfatning at det kan ligge risiko i det at alle som har administratorrettigheter i adgangssystemet kan gi adgang til serverrom. Risikoen reduseres noe av at systemet loggfører aktivitet, men risikoen kan reduseres ytterligere ved jevnlig gjennomgang av logger, eller restriksjoner i tilgangssystemet som hindrer uautoriserte personer å gi tilgang til disse rommene. Østfold kommunerevisjon iks

180 Internkontroll Vi har funnet at kommunen har etablert flere tiltak som har positiv effekt i kommunens internkontroll på området, herunder blant annet en rekke rutiner og retningslinjer. Vi kan likevel ikke si at kommunen på nåværende tidspunkt har et styringssystem for informasjonssikkerhet som er tilfredsstillende. Som våre vurderinger viser handler dette blant annet om at internkontrolldokumentasjonen fremstår som uoversiktlig, manglende risikovurderinger og manglende overvåkning av systemet, samt lite systematikk i dette arbeidet. Ansattes kjennskap til rutiner og retningslinjer Våre vurderinger viser at kommunen har etablert en rekke tiltak for å sikre at kommunens ansatte har kjennskap til kommunens rutiner og retningslinjer for informasjonssikkerhet. Funnene viser imidlertid et ganske stort behov for kompetanseheving på området. Slik revisjonen vurderer det har kommunens ansatte kun i noen grad kjennskap til retningslinjer og rutiner for informasjonssikkerhet. Anbefalinger Basert på våre vurderinger og konklusjoner anbefaler vi at kommunen bør: implementere varsling til sikkerhetsmyndigheter i sine skriftlige rutiner/prosedyrer. prioritere å få på plass en overordnet beredskapsplan for IKT-sikkerhetsmessige situasjoner, basert på deres ROS-analyse. gjennomgå sine rutiner og prosedyrer på området, med særlig hensyn til gyldighet, begrepsbruk, ansvarsfordeling og overlapping av innhold. vurdere å gjennomgå viktige loggfiler jevnlig. prioritere å få på plass ytterligere sikring av sin e-post-kommunikasjon. vurdere å kryptere bærbare enheter der det er risiko for at sensitiv data blir lagret lokalt, som anbefalt i NSMs grunnprinsipper. innføre 2-faktor autentisering på alle flater der ansatte eksternt skal koble seg til kommunens systemer, eventuelt sperre for flater der 2-faktor autentisering ikke er tilgjengelig. vurdere å innføre sentral kontroll av gjennomgang av tilganger eventuelt gjennomgå sine dokumenter på området med hensyn til tydeliggjøring av ansvaret for å gjennomgå tilganger. vurdere å jevnlig gjennomgå aktivitetslogg for tilgang til serverrom, eventuelt vurdere å innføre sperrer i systemet slik at det ikke er mulig for alle med administratorrettigheter å gi tilgang til slike rom. sørge for at risikovurderinger av informasjonssikkerheten gjennomføres i tråd med egne rutiner og retningslinjer. etablere en systematisk overvåkning av informasjonssikkerheten i kommunen for å sikre at lovverket etterleves. kartlegge de ansattes kompetansebehov innen informasjonssikkerhet, og vurdere nødvendige tiltak. Det kan være hensiktsmessig om kommunen også benytter resultatene fra spørreundersøkelsen som en indikasjon på hvordan kompetansetiltakene bør innrettes. Rolvsøy, 24. januar 2020 Anita M. Torp (sign.) revisor Lene Brudal (sign.) oppdragsansvarlig revisor Østfold kommunerevisjon iks

181 8. KOMMUNEDIREKTØRENS UTTALELSE Østfold kommunerevisjon iks

182 Østfold kommunerevisjon iks

183 Østfold kommunerevisjon iks

184 9. VEDLEGG 9.1. Utledning av revisjonskriterier Planer, rutiner og tiltak (problemstilling 1 og 2) Personvernforordningens regler om informasjonssikkerhet følger av artikkel 32. Bestemmelsen fastslår at både den behandlingsansvarlige og databehandleren plikter å «gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen», eforvaltningsforskriften skal legge til rette for sikker og effektiv bruk av elektronisk kommunikasjon med og i forvaltningen. Den skal fremme forutsigbarhet og fleksibilitet og legge til rette for samordning av sikre og hensiktsmessige tekniske løsninger. Digitaliseringsdirektoratet sier i sin veileder til informasjonssikkerhet at offentlige virksomheter skal i henhold til eforvaltningsforskriften 15 etablere mål og strategi for informasjonssikkerhet og et tilfredsstillende system for internkontroll. Sikkerhetsmålene bør beskrive både formål med informasjonsbehandlingen i forvaltningsorganet og overordnede føringer for informasjonsbehandling og bruk av IKT. Disse føringene vil naturlig uttrykkes som mål med vekt på konfidensialitet, integritet og tilgjengelighet i virksomhetens informasjonsbehandling og bruk av IKT. Sikkerhetsstrategien omfatter sentrale valg og prioriteringer i sikkerhetsarbeidet. Sikkerhetsstrategien består naturlig av to hoveddeler: 1. Retningslinjer for hvordan sikkerhetsarbeidet skal organiseres og gjennomføres 2. Retningslinjer for relevante tiltaksområder. De siste bør etableres etter risikovurderinger i internkontrollarbeidet. Alle offentlige virksomheter må imidlertid ha tilstrekkelig oversikt for å være i stand til gjøre gode vurderinger, og kunne identifisere skjermingsverdig informasjon og skjermingsverdige informasjonssystemer. Alle virksomheter bør også vurdere om de i gitte situasjoner må være i stand til å motta og håndtere sikkerhetsgradert informasjon, eksempelvis i en krisesituasjon. Disse virksomhetene må legge til rette for at klarert personell kan motta og håndtere gradert informasjon. Stortingsmeldingen om IKT-sikkerhet (Meld. St. nr. 38 ( ) IKT-sikkerhet Et felles ansvar), ble lagt frem våren 2017 og behandlet i Stortinget i vårsesjonen Styrking av den nasjonale evnen til å avdekke og håndtere digitale angrep er et av hovedområdene som omtales i stortingsmeldingen. Et sentralt tiltak for å bidra til en slik styrking er etableringen av et rammeverk for håndtering av IKT-sikkerhetshendelser. Hensikten med rammeverk for håndtering av IKT-sikkerhetshendelser er å avklare og tydeliggjøre innsatsen mellom relevante aktører, for å være i bedre i stand til å håndtere alvorlige IKTsikkerhetshendelser som rammer på tvers av sektorer. De etablerte beredskapsprinsippene 41 ligger til grunn for rammeverket. 41 Arbeidet med samfunnssikkerhet og beredskap tar utgangspunkt i etablerte prinsipper for krisehåndtering; ansvarsprinsippet, likhetsprinsippet, nærhetsprinsippet og samvirkeprinsippet. Se Meld. St. nr. 10 ( ) Risiko i et trygt samfunn Samfunnssikkerhet Østfold kommunerevisjon iks

185 Det følger av Rammeverk for håndtering av IKT-sikkerhetshendelser kapittel 3 at IKT-sikkerhetshendelser som faller inn under rammeverkets virkeområde skal håndteres gjennom en systematisk prosess bestående av 1) planlegging og forberedelse; 2) deteksjon og vurdering av omfang og alvorlighetsgrad; 3) varsling av relevante parter; 4) iverksetting av prosesser og tiltak for å håndtere hendelsen; 5) situasjonsrapportering og 6) tilbakeføring og læring av hendelsen. En slik prosess er i overensstemmelse med ISO/IEC Planlegging og forberedelse Planlegging og forberedelse handler om å etablere prosedyrer for håndtering av hendelser, inkludert rapportering, ansvarslinjer og eskaleringsrutiner og etablering av et IKT-risikobilde. Det forutsettes at virksomheter som omfattes av rammeverket har implementert en grunnsikring basert på egne risiko- og sårbarhetsvurderinger. En risiko- og sårbarhetsanalyse er en strukturert vurdering av sannsynlighet og konsekvenser av uønskede hendelser, som bidrar til å avdekke fokusområder for sikring av systemene. Virksomheter forutsettes å: motta, vurdere og formidle informasjon fra og til eget sektorvise responsmiljø (SRM) ha systemer for loggføring av nettverkstrafikk delta i samhandlingsøvelser ha beredskapsplaner for håndtering av større hendelser og sikkerhetspolitiske kriser i det digitale rom oppdatere seg gjennom relevante utredninger og årlige og løpende trusselvurderinger rettet mot det digitale rom gjennomføre jevnlige risikovurderinger for egen virksomhet rettet mot det digitale rom oppdatere kontaktinformasjon og melde inn endringer til eget SRM NorSIS 43 ferdigstilte i desember 2017 en utredning om behovet for et kommune CSIRT 44. Utredningen har kartlagt og beskrevet de felles behovene for støtte til håndtering av IKT-sikkerhetshendelser i kommunal sektor. Rapporten legger til grunn at det ikke er formalisert et kontaktpunkt for kommunal sektor i den nasjonale CERT 45 -strukturen, men at deler av kommunal sektor dekkes gjennom kontaktpunkter i øvrige responsmiljøer som HelseCERT, KraftCERT og NorCERT 46. Vi tolker dette slik at sektorvist responsmiljø som er relevant for kommunen i denne sammenhengen, i hovedsak vil være NorCERT den operative delen av NSM, og Norges nasjonale CERT og cybersenter. NorCERT håndterer alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon. Avhengig av type hendelse vil også HelseCERT være et relevant SRM. Deteksjon og vurdering av omfang og alvorlighetsgrad Brukere, enheter, leverandører, politiet, NSM eller andre kan oppdage sikkerhetskritiske hendelser. Dersom en IKT-sikkerhetshendelse identifiseres skal alltid de som oppdager at andre er rammet, gjøre den rammede virksomheten oppmerksom på dette. Her forutsettes virksomheter å: ha beredskap for rettidig å avdekke hendelser 42 Standard for informasjonssikkerhet, publisert av International Organization for Standardization (ISO) og International Electrotechnical Commision (IEC). 43 Norsk senter for informasjonssikring 44 Computer Security Incident Response Team 45 Computer Emergency Response Team en koordinerende enhet for informasjonssikkerhet. 46 Den operative delen av Nasjonal sikkerhetsmyndighet (NSM) og Norges nasjonale CERT og cybersenter som håndterer alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon. Østfold kommunerevisjon iks

186 ha kompetanse om relevante systemer i virksomhet og kunne vurdere alvorlighetsgrad, omfang og konsekvenser på overordnet nivå kunne vurdere om kritisk infrastruktur og/eller kritiske samfunnsfunksjoner er eller står i fare for å bli berørt av hendelsen bruke NSMs system for klassifisering av hendelser, eller et system som er kompatibelt med dette vurdere behov for bistand Varsling av relevante parter Når en hendelse er avdekket igangsettes varsling parallelt med kartlegging av inntruffet hendelse. Varsling kan gjøres til nære samarbeidspartnere som er mistenkt utsatt for samme hendelse, før det vurderes om virksomhetens SRM varsles. Virksomheter forutsettes å: ha rutiner for å varsle om IKT-sikkerhetshendelser til SRM og eventuelt samarbeidende virksomheter, samt til NSM under forutsetninger 47 angitt i kapittel 3.3 i rammeverket. Iverksetting av prosesser og tiltak for å håndtere hendelsen Rammeverket omfatter kun håndtering knyttet til å stanse hendelsen, skadevurdere, begrense skadeomfang og gjenopprette sikker tilstand. Tiltak for å gjenopprette sikker tilstand utføres i all hovedsak av virksomheten selv gjennom sin IT-avdeling / -partner. Virksomheter forutsettes å: etablere, eller ha tilgang til, tilstrekkelig evne og kapasitet til å håndtere IKTsikkerhetshendelser. Situasjonsrapportering Situasjonsrapportering skal gå både fra virksomhets- og sektornivå til nasjonalt nivå, og fra nasjonalt nivå til sektor- og virksomhetsnivå. Virksomheter forutsettes å: benytte NSMs system for rapportering av IKT-sikkerhetshendelser, herunder klassifisering og kategorisering, eller et system som er kompatibelt med dette. Rapportere alle IKT-sikkerhetshendelser til SRM, også de hendelser som blir håndtert internt i virksomhet. Sistnevnte rapportering kan skje i etterkant av hendelseshåndteringen. Tilbakeføring og læring av hendelsen Etter at hendelseshåndteringen knyttet til gjenoppretting av sikker tilstand er avsluttet, starter arbeidet i virksomheten med å lukke sårbarheter og øke grunnsikringen dersom det er nødvendig. Tiltak som iverksettes må baseres på en grundig analyse av hva som gikk galt og om det etablerte sikkerhetsnivået gir god nok sikkerhet. Virksomheter forutsettes å: Dersom hendelsen ikke allerede er varslet og/eller anmeldt til politiet, bør dette gjøres av virksomheten Delta i evalueringsarbeid i egen sektor, avhengig av omfang og involvering Evaluere og forbedre egen evne til håndtering av IKT-sikkerhetshendelser 47 Dersom virksomheten er knyttet til VDI-samarbeidet (Varslingssystem for Digital Infrastruktur, et nasjonalt sensornettverk på internett), har en bilateral avtale med NSM, eller ikke er tilknyttet et SRM og hendelsen oppfyller kriteriene for å varsle SRM. Østfold kommunerevisjon iks

187 Implementere tiltak for å styrke evne til å motstå lignende hendelser senere (grunnsikring) Dele læringspunkter etter en hendelse med SRM. Som en del av Nasjonal strategi for digital sikkerhet, lagt frem på lanseringskonferanse i januar 2019, er det utarbeidet anbefalte tiltak for bedret digital sikkerhet. Tiltakene er todelt. Den første delen er rettet mot sentrale tiltak, og den andre delen har 10 anbefalte tiltak rettet mot virksomheter i offentlig og privat sektor. Det fremkommer av dokumentet at virksomheter må gjennomføre nødvendige tiltak for å sikre IKT-systemene, og at NSMs grunnprinsipper for IKTsikkerhet beskriver tiltak som alle virksomheter bør implementere for god grunnsikring. Anbefalte tiltak for virksomheter er: Ledelse. Det bør etableres aktiviteter for sikkerhetsstyring, hvor det er tydelige krav og forventninger til sikkerhet. Risikostyring. Etabler prosess for risikostyring som er en del av en helhetlig styringsstruktur, prosessen må være kjent i virksomheten. Etabler tydelig ansvar og effektive rapporteringslinjer til toppledelse og styre. Kartlegg verdikjeder, informasjonsverdier, utstyr og brukertilganger. Lag en oversikt over virksomhetens sentrale mål, hvilke verdier og verdikjeder som inngår, hvor viktige data lagres og hvem som har tilgang til disse dataene. Inkluder digital sikkerhet i virksomhetskulturen. Virksomheter må sørge for at ansatte har nødvendig informasjon, kunnskap og ferdigheter til å opprettholde ønsket sikkerhetsnivå. Kartlegg virksomhetens sikkerhetskultur og identifiser hva som kan forbedres. Fastsett ønsket kultur og gjennomfør tilpasset, årlige treningsprogram for å fremme god sikkerhetskultur. Leverandørkontroll. Det må stilles krav til produkter og leverandører slik at sikkerheten er ivaretatt i hele produktets eller tjenestens levetid. Sats på god bestillerkompetanse og gjør en risikovurdering som forankres hos ledelsen. Sikker konfigurasjon. Konfigureringen må oppdateres kontinuerlig, i takt med endringer i teknologi, bruksmønster og trusselbilde. Oppgrader program- og maskinvare. Fjern unødvendig kompleksitet og ubrukt funksjonalitet. Blokker kjøring av ikke-autoriserte programmer. Kontroll på nettverk og systemkomponenter. Virksomheten må innføre tiltak for beskyttelse mot skadevare, overvåkning og analyse av IKT-systemet og håndtering av endringer. Installer sikkerhetsoppdateringer så raskt som mulig. Beskytt trådløse nettverk med sterke sikkerhetsmekanismer. Planlegg og dokumenter endringer. Slå på logging og gjennomgå viktige logger jevnlig. E-post og websikkerhet. Virksomheten bør ha kontroll på informasjonsflyten som går til og fra eget nettverk, samt innad i eget nettverk. Bruk kun siste versjon av nettlesere. Beskytt e- post med DMARC 48. Krypter viktig informasjon når det lagres på bærbare medier og når det sendes over nettet. Tilgangskontroll. Virksomheten må ha kontroll på kontoer, kontrollere bruk av administrative privilegier, sørge for sikker pålogging og jevnlig gjennomgå tilgangsrettigheter. Fysisk tilgang til nettverk og informasjonssystemer, inkludert datarom, bør tilgangsstyres på lik linje med logiske tilganger. Endre standard passord og ikke tildel sluttbrukere administratorrettigheter. Bruk 2-faktor autentisering, eller som et minimum, sterke passord. 48 Domani based Message Authentication, Reporting and Conformance. Mekanisme som sjekker om innkommende e-post faktisk kommer fra domenet det påstår at det kommer fra (autentisering av avsender). Østfold kommunerevisjon iks

188 Hendelsesberedskap. Etabler en beredskapsplan for ulike typer hendelser og gjennomfør øvelser som tester planverket. Nasjonal strategi for digital sikkerhet og rammeverk for håndtering av IKT-sikkerhetshendelser viser begge til NSMs veileder «Grunnprinsipper for IKT-sikkerhet» som beskriver hva en virksomhet bør gjøre for å sikre et IKT-system, og hvorfor. Grunnprinsippene er et supplement til eksisterende nasjonale og internasjonale regelverk, standarder og rammeverk innen IKT-sikkerhet, og uthever de viktigste sikringstiltakene i ISO/IEC 27002:2017. Ifølge veilederen vil en angriper som regel bruke enkleste veien inn i systemene. Om det finnes sikringstiltak som er enkle å omgå vil angriperen lete etter, og utnytte, dette. Sårbarheter kan oppstå dersom kvaliteten på anskaffelsesprosessen ikke er god nok slik at komponenter eller tjenester med manglende sikkerhetsfunksjonalitet, manglende sikkerhetsrettinger eller feil konfigurasjon innføres. Sårbarheter kan også skyldes feil på produktet, plantede sårbarheter, oppdateringer eller vedlikehold. For i størst mulig grad å hindre sårbarheter fra å oppstå bør sikkerhet være en del av virksomhetens tankegang fra beslutning og anskaffelse til drift, vedlikehold og avskaffelse. Veilederen er delt i fire kategorier som hver beskriver tiltak som virksomheten bør implementere for å sikre sine systemer: Identifisere og kartlegge opparbeide og forvalte forståelse om virksomheten, herunder leveranser, tjenester, systemer og brukere. Beskytte prinsipper som må til for å ivareta en sikker tilstand for IKT-miljøet, for å motstå eller begrense skaden fra dataangrep. Opprettholde og oppdage prinsipper som ivaretar behovet for å håndtere endringer, både planlagte endringer, feilretting og sikkerhetsoppdateringer for å opprettholde den sikre tilstanden over tid. Håndtere og gjenopprette prinsipper for å få på plass aktiviteter for å håndtere oppdagede sikkerhetstruende hendelser. For nærmere beskrivelse av kategoriene og tilhørende tiltak viser vi til veilederen i sin helhet. NSM har videre publisert sjekklistene S-01, «fire effektive tiltak mot dataangrep» og S-02, «ti viktige tiltak mot dataangrep», som supplerer dokumentet «Grunnleggende tiltak for sikring av Windows 7, U-01». Veilederen og sjekklistene er tilgjengelige på NSMs hjemmesider. Sjekklistene er av generell karakter og anses for å være relevante til tross for at nyere versjoner av Windows operativsystem er tilgjengelig. Fokuset til sjekklistene er grunnleggende Windows 7 sikkerhetstiltak. Målgruppen er store og middels store virksomheter, primært i offentlig forvaltning. Tiltakene gir ikke 100 % sikkerhet mot alle typer angrep, som for eksempel tapping av kommunikasjon over internett, tjenestenektangrep, eller angrep fra avanserte statlige aktører og angrep der angriperen har fysisk tilgang til utstyret. Tiltakene forhindrer heller ikke at godtroende brukere oppgir sensitive opplysninger på nett. De fire første tiltakene i S-02 er sammenfallende med tiltakene i S-01. Tiltakene i S-02 er: oppgrader program- og maskinvare installer sikkerhetsoppdateringer så fort som mulig ikke tildel administrator-rettigheter til sluttbrukere blokker kjøring av ikke-autoriserte programmer aktiver kodebeskyttelse mot ukjente sårbarheter herde applikasjoner bruk klientbrannmur bruk sikker oppstart og diskkryptering bruk antivirus/antiskadevare Østfold kommunerevisjon iks

189 ikke installer mer funksjonalitet enn nødvendig Basert på ovennevnte føringer, har revisjonen utledet følgende revisjonskriterier for problemstilling 1 og 2: Problemstilling 1 Har kommunen tilfredsstillende planer og rutiner for håndtering IKT-sikkerhetsmessige situasjoner? Kommunen gjennomfører risikovurderinger knyttet til IT-sikkerhet. Kommunen har planer og rutiner (sikkerhetstiltak) for å sikre beredskap ved sikkerhetshendelser. Planene og rutinene er kjent for de ansatte. Det er utarbeidet rutiner for å varsle om IKT-sikkerhetshendelser. Herunder om det skal varsles til SRM og eventuelt samarbeidende virksomheter, samt til NSM om nødvendig. Kommunen vurderer behov for bistand ved IKT-sikkerhetshendelser. Problemstilling 2 Har kommunen etablert, evt. innført/gjennomført? tilfredsstillende sikkerhetstiltak av sine datasystemer mot dataangrep? Kommunen loggfører nettverkstrafikk. Kommunens ledelse kommuniserer krav og forventninger til sikkerhet på en tilgjengelig og forståelig måte til sine ansatte. Kommunens prosess for risikostyring, ansvar for denne og rapporteringslinjer til øvre ledelse er kjent. Kommunen har oversikt over hvor viktige data lagres og hvem som har tilgang til disse dataene. Kommunen stiller krav om sikkerhet ved anskaffelse av digitale produkter og tjenester. Kommunen konfigurerer enheter som skal kobles til kommunens nett. Program- og maskinvare oppdateres kontinuerlig, og kjøring av ikke-autoriserte programmer er blokkert. Unødvendig kode og makroer deaktiveres i autoriserte programmer/applikasjoner. IKT- systemet overvåkes og analyseres, endringer er planlagt og dokumentert, og viktige logger gjennomgås jevnlig. Kommunen har beskyttet sin e-post kommunikasjon, og krypterer informasjon på bærbare medier og ved oversendelse på nett. Kommunen bruker antivirus/antiskadevare og har kodebeskyttelse mot ukjente sårbarheter. Fysisk tilgang til nettverk- og informasjonssystemer er tilgangsstyrt. Sluttbrukere har ikke administratorrettigheter og kommunen gjennomgår jevnlig tilgangsrettigheter. Kommunen setter krav til passordstyrke, og bruker 2-faktor autentisering. Uønsket/ubedt trafikk blokkeres av brannmur/klientbrannmur og loggfiler gjennomgås jevnlig. Kommunen bruker sikker oppstart og diskkryptering. Østfold kommunerevisjon iks

190 Styringssystem for informasjonssikkerhet (problemstilling 3) Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger. Informasjonssikkerhet omfatter beskyttelse av 49 : Konfidensialitet at informasjonen ikke blir kjent for uvedkommende Integritet at informasjonen ikke blir endret utilsiktet eller av uvedkommende Tilgjengelighet at informasjonen er tilgjengelig for autoriserte ved behov Robusthet at organisasjonen og systemene er motstandsdyktige, og evner å gjenopprette normaltilstand ved hendelser Med andre ord krever personvernregelverket at personopplysninger skal beskyttes mot uberettiget innsyn og endringer. Samtidig skal opplysningene være tilgjengelige for de som trenger opplysningene, når de har behov for dem. Personvernforordningen stiller krav til den behandlingsansvarliges ansvar. Det innebærer å sette i verk egnede tiltak, både tekniske og organisatoriske, for å sikre og påvise at personopplysninger behandles i samsvar med regelverket. Kommunen er gjennom eforvaltningsforskriften 15 pålagt å ha internkontroll (styring og kontroll) på informasjonssikkerhetsområdet. Kravet gjelder all informasjonsbehandling i kommunen, og eforvaltningsforskriften vil derfor være et naturlig utgangspunkt for alt informasjonssikkerhetsarbeid i offentlige virksomheter. Relevante krav i annet regelverk, som for eksempel personopplysningsregelverket, skal da inkluderes. Behandling av informasjon som kommer inn under sikkerhetsloven, skal også bli henledet til de bestemmelsene som gjelder for de. eforvaltningsforskriften 15 stiller krav om at internkontrollen på informasjonssikkerhetsområdet skal basere seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Difi er i henhold til forskriften utpekt til å gi anbefalinger på området. Difi anbefaler at internkontrollen skal baseres på den internasjonale standarden ISO/IEC 27001: Difi har utarbeidet veiledningsmateriell basert på denne standarden. Standarden videreutvikles løpende. Revisjonen har i denne utledningen benyttet versjon 1.4, sist oppdatert Sikkerhetsmål Sikkerhetsmålene omfatter ledelsens beslutninger om hva IKT skal brukes til i virksomheten, og hvordan den skal benyttes for å oppnå virksomhetens øvrige mål. I henhold til Difis veileder for internkontroll informasjonssikkerhet bør sikkerhetsmålene beskrive både formål og føringer for informasjonsbehandling og bruk av IKT, med vekt på konfidensialitet, integritet og tilgjengelighet. Strategi for informasjonssikkerhet I henhold til Difis veileder omfatter strategien sentrale valg og prioriteringer i sikkerhetsarbeidet, og består naturlig av to hoveddeler: 1. Retningslinjer for hvordan sikkerhetsarbeidet skal organiseres og gjennomføres. Retningslinjene må klargjøre roller, myndighet og ansvar, og omfatte føringer for en systematisk organisering og gjennomføring av aktivitetene i internkontrollarbeidet. 2. Retningslinjer for relevante tiltaksområder, som bør etableres basert på risikovurderinger i internkontrollarbeidet. 49 Jf. Personvernforordningen artikkel 32 bokstav b 50 Jf. Referansekatalogen, bruksområde «Internkontroll/styringssystem/ledelses system for informasjonssikkerhet». Østfold kommunerevisjon iks

191 Ledelsens styring og oppfølging I henhold til ISO/IEC 27001, skal virksomheten kontinuerlig forbedre egnetheten, tilstrekkeligheten og effektiviteten til styringssystemet for informasjonssikkerhet. 51 Toppledelsen skal gjennomgå styringssystemet ved planlagte intervaller for å forsikre seg om at dette skjer. 52 Virksomheten skal, i henhold til ISO/IEC 27001, definere og dokumentere styringssystemets omfang, basert på kartlagte eksterne og interne forhold, interessenters krav og forventninger, grensesnitt og avhengigheter mellom aktiviteter utført av virksomheten selv, og de som utføres av andre. 53 Virksomheten skal videre ha kontroll med prosesser som er satt ut til tredjepart. 54 I henhold til standardens punkt 5.2, skal toppledelsen etablere en informasjonssikkerhetspolicy, og sørge for at den er dokumentert og kommunisert. Policyen skal være hensiktsmessig sett opp mot virksomhetens formål inneholde mål for informasjonssikkerheten, eller et rammeverk for å sette slike mål forplikte virksomheten til å oppfylle definerte krav til informasjonssikkerhet og sørge for kontinuerlig forbedring Videre skal toppledelsen sørge for at ansvar og myndighet, som er relevant for informasjonssikkerheten, er delegert og kommunisert. Dette gjelder også ansvar og myndighet for å sikre at styringssystemet er i samsvar med standarden, og for å rapportere til toppledelsen om hvordan styringssystemet fungerer. 55 Datatilsynet gir i sin veileder for internkontroll og informasjonssikkerhet 56 nærmere beskrivelse av hvordan ansvar og myndighet bør fordeles: «Det må klargjøres roller og ansvar knyttet til personvern og sikkerhet internt i virksomheten. Det inkluderer for eksempel hva som ligger i linjeansvar og hva som ligger i nøkkelroller som personvernombud, personvernrådgiver, sikkerhetsleder, IKT-ansvarlig, HR-ansvarlig, prosjektledere, produkteiere, systemeiere, systemforvaltere mv. Klare ansvars- og myndighetsforhold etableres med utgangspunkt i beslutninger tatt av virksomhetens ledelse. Rolle- og ansvarsfordeling skal være dokumentert.» Datatilsynets veileder foreslår også at ledelsen årlig skal gjennomgå sikkerhetsmål, sikkerhetsstrategi og organisering av informasjonssystemene. I ledelsens gjennomgang av informasjonssystemet kan blant annet følgende vurderes: Resultater fra sikkerhetsrevisjoner og kontroller utført av offentlig myndighet Endringer med betydning for drift av informasjonssystemet eller for informasjonssikkerheten, herunder endringer i offentlige sikkerhetskrav, endringer i personopplysninger som virksomheten skal behandle, endringer i trusselbildet som blant annet beskrevet i rapport fra utførte risikovurderinger Om informasjonssystemet bør endres, eksempelvis som følge av ønske om ny funksjonalitet Overordnet behandling av alvorlige avvik og hendelser Risikovurdering I henhold til ISO/IEC punkt 8.2 skal risikovurderinger gjennomføres i planlagte intervaller, og når vesentlige endringer planlegges eller oppstår. Videre skal en plan for håndtering av risikoer implementeres. 57 Virksomheten skal oppbevare dokumentert informasjon om prosessene for 51 Jf Jf Jf Jf Jf Publisert Jf. 8.3 Østfold kommunerevisjon iks

192 risikovurdering og risikohåndtering 58, og også oppbevare dokumentert informasjon om resultatene av risikovurderingene og risikohåndteringsprosessen med påfølgende tiltaksetablering. 59 Datatilsynet skriver følgende om dette i sin veileder for internkontroll og informasjonssikkerhet: «En risikovurdering begynner med en kartlegging av verdier som bør sikres. Personvernregelverket definerer personopplysninger som en verdi. Det bør gjøres en trusselvurdering av hvilke aktører som kan være interessert i verdiene og hvilke angrepsvektorer de ulike trusselaktørene benytter. Deretter gjøres en vurdering av om verdiene er sårbare for de gitte truslene.» Risikohåndtering Ifølge standarden 60 skal virksomheten velge hensiktsmessig håndtering av de risikoene som krever håndtering ut fra risikokriterier, og bestemme hvilke tiltak som er nødvendige å innføre. Tiltak kan designes etter behov eller velges fra hvilken som helst kilde. De valgte tiltakene skal vurderes opp mot tiltakene som er beskrevet i standardens vedlegg A, for å sikre at ingen relevante tiltak er utelatt i vurderingen. Virksomheten skal så lage en erklæring om relevans (Statement of Applicability SoA), som viser valgte tiltak med begrunnelse for hvorfor de er valgt, og om de er implementert eller ikke. Erklæringen skal også inneholde begrunnelser for de tiltakene i vedlegg A som er utelatt. Det skal videre utarbeides en plan for håndtering av risikoen. Risikoeier skal godkjenne planen og den gjenværende risikoen. 61 Virksomheten skal oppbevare dokumentert informasjon om prosessene for risikohåndtering, om resultatene fra håndteringen av informasjonssikkerhetsrisikoene, og resultatene av korrigerende tiltak. 62 Overvåking og hendelseshåndtering Virksomheten skal overvåke informasjonssikkerheten. I henhold til standardens punkt 9.1, skal det defineres hva som skal overvåkes, og når, hvilke metoder som skal benyttes, hvem som skal overvåke, når resultatene skal analyseres og evalueres, og hvem som skal gjennomføre analysen og evalueringen. Måling, evaluering og revisjon Virksomheten skal gjennomføre måling av effektiviteten på styringssystemet for informasjonssikkerhet, herunder de iverksatte sikkerhetstiltakene. Det skal defineres hva som skal måles, når det skal måles, hvilke metoder som skal benyttes, hvem som skal gjennomføre målingen, når resultatene skal analyseres og evalueres, og hvem som skal gjennomføre analysen og evalueringen. 63 Trender observert gjennom resultatene av målingene skal identifiseres og benyttes under ledelsens gjennomgang. 64 Datatilsynet beskriver i sin veileder hvordan virksomheten kan kontrollere sitt eget styringssystem for informasjonssikkerhet. Ifølge veilederen skal virksomheten kontrollere at rutinene for håndtering av personopplysninger brukes og fungerer etter hensikten. Videre må virksomheten i henhold til veilederen, jevnlig teste, vurdere og evaluere hvor effektive sikkerhetstiltakene er. En sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak, og bruk av sikkerhetsparter og databehandlere. Ifølge veilederen består sikkerhetsrevisjon vanligvis av egenkontroller, internrevisjon og revisjon av eksterne parter. Dersom sikkerhetsrevisjonen avdekker 58 Jf og Jf og ISO/IEC punkt Jf a-f 62 Jf , 8.3 og 10.1 g 63 Jf. ISO/IEC Jf. 9.3 Østfold kommunerevisjon iks

193 bruk av informasjonssystem som ikke er forutsatt, skal dette behandles som et avvik. Resultatet fra sikkerhetsrevisjonen skal dokumenteres og være en del av ledelsens gjennomgang. Ifølge ISO/IEC 27001, skal virksomheten oppbevare dokumentert bevis på gjennomføring av måling. 65 Trender som er observert gjennom målingen, skal dokumenteres, og er del av grunnlaget for ledelsens gjennomgang. 66 Revisjonsplanene med tilhørende beskrivelse av kriterier og omfang, og resultatene av revisjonen, skal dokumenteres og rapporteres til relevant ledelse. Disse er også en del av grunnlaget for ledelsens gjennomgang. 67 Utledede revisjonskriterier Oppsummert, vil revisjonen benytte følgende revisjonskriterier for å svare på om kommunen har etablert et tilfredsstillende styringssystem for informasjonssikkerhet: Det er fastsatt overordnede målsettinger for informasjonssikkerhet i kommunen. Det er utarbeidet en overordnet strategi for å nå målene på området, som er basert på risikovurderinger. Strategien gjennomgås jevnlig, og oppdateres ved behov, for å sikre at den til enhver tid er i samsvar med kommunens behov. Det er etablert og beskrevet klare ansvars- og myndighetsforhold for kommunens informasjonssikkerhetsarbeid. Kommunen har rutiner og retningslinjer for risikovurdering og risikohåndtering knyttet til informasjonssikkerhet. Kommunen dokumenterer prosessene rundt risikohåndtering og resultatene fra håndtering av informasjonssikkerhetsrisikoene og resultat av korrigerende tiltak. Informasjonssikkerheten i kommunen overvåkes etter definerte mål og metoder, og resultatene analyseres og evalueres. På et overordnet nivå, følger kommunen opp at informasjonssikkerheten blir ivaretatt i tråd med lov og forskrift, og øvrig internt og eksternt regelverk på området. De ansattes kjennskap til retningslinjer og rutiner for informasjonssikkerhet (problemstilling 4) Kompetanse- og kulturutvikling I henhold til standardens punkt 7.3, skal ansatte kjenne til informasjonssikkerhetspolicyen, deres bidrag til effektiviteten av styringssystemet for informasjonssikkerhet, og fordelene med forbedret håndtering av informasjonssikkerheten. De skal også kjenne til hva det kan medføre dersom kravene til informasjonssikkerhet ikke etterleves. Standardens punkt 7.2 sier at virksomheten skal kartlegge hvilken kompetanse som er nødvendig for ansatte som utfører arbeid som kan påvirke informasjonssikkerheten. Basert på kartleggingen skal virksomheten påse av disse ansatte får nødvendig erfaring og kompetanse gjennom utdanning og trening. Effekten av slike kompetansehevingstiltak skal evalueres. Standarden stiller dessuten krav til at virksomheten oppbevarer hensiktsmessig dokumentert informasjon som bevis på kompetansen. 65 Jf Jf Jf. 9.2 og 9.3 Østfold kommunerevisjon iks

194 Datatilsynet råder i sin veileder virksomheten til å sørge for hensiktsmessig opplæring, før ansatte og eventuelle tredjepartsbrukere får tilgang til informasjon eller tjenester. Dette omfatter krav til internkontroll og informasjonssikkerhet, juridisk ansvar og interne sikringstiltak, så vel som opplæring i riktig bruk av informasjonssystemer. Dette inkluderer for eksempel innloggingsprosedyrer, bruk av programvare, sikkerhetsinstruks, og rapportering av avvik. I tillegg bør de få regelmessig oppdatering i organisasjonens policy og rutiner. Kommunikasjon I henhold til standardens punkt 7.4, skal virksomheten fastsette behovet for intern og ekstern kommunikasjon, herunder hvem som er ansvarlige for å kommunisere, hva som skal kommuniseres, når det skal kommuniseres, i hvilken form det skal kommuniseres, og til hvem. Dokumentert informasjon skal ha hensiktsmessig identifikasjon, være hensiktsmessig beskrevet og være i et hensiktsmessig format. Den skal være gjennomgått og godkjent ut fra formålene egnethet og tilstrekkelighet. 68 Dokumentert informasjon skal være tilgjengelig og egnet for bruk når det er behov for den. Den skal være tilstrekkelig sikret. Avhengig av relevans, skal virksomheten vurdere blant annet distribusjon, tilgang, lagring, bevaring og endringskontroll. 69 Skal en kommune lykkes med å få tilstrekkelig styring og kontroll med informasjonssikkerheten, er det ikke nok med systematiske planer, policyer, retningslinjer, styringsparametere og oppfølging. Kulturen i organisasjonen er avgjørende. Som vist i utleding av kriterier til problemstilling 3, er kompetanse- og kulturutvikling en viktig del av et tilfredsstillende styringssystem for informasjonssikkerhet, og de ansatte skal kjenne til virksomhetens informasjonssikkerhetspolicy, og deres bidrag til effektiviteten av styringssystemet for informasjonssikkerhet. De skal også kjenne til hva det kan medføre dersom kravene til informasjonssikkerhet ikke etterleves. Datatilsynet skriver følgende om brukeropplæring i sin veileder om internkontroll og informasjonssikkerhet: «Målet med brukeropplæring er å sørge for at brukerne er oppmerksomme på trusler mot personvernet og informasjonssikkerheten generelt, og at de er gitt mulighet til å etterleve dette i sitt daglige arbeid. Opplæring bør være tilpasset ulike målgruppers behov for opplæring og fordeles over tid. Brukerne bør få opplæring i rutiner, sikkerhetsprosedyrer og riktig bruk av informasjonssystemer for å redusere potensielle risikoer.» I henhold til veilederen, bør de ansatte ha fått hensiktsmessig opplæring før de får tilgang til informasjon eller tjenester. Dette inkluderer for eksempel at de kjenner til innloggingsprosedyrer, bruk av programvare, sikkerhetsinstruks og rapportering av avvik. I tillegg bør de ansatte, ifølge veilederen, få regelmessig oppdatering i organisasjonens policy og rutiner. Datatilsynets veiledere påpeker også at taushetserklæringer kan brukes for å gjøre oppmerksom på at det forekommer konfidensiell informasjon i virksomheten. De ansatte skal ifølge veilederen, undertegne en slik erklæring samtidig med ansettelseskontrakten. Dette gjelder også midlertidig ansatte. 68 Jf Jf Østfold kommunerevisjon iks

195 Utledede revisjonskriterier Basert på dette legger revisjonen følgende kriterier til grunn for denne problemstillingen: Det gjennomføres kompetansetiltak som bidrar til at medarbeidere som bruker kommunens informasjonssystemer, har tilstrekkelig kompetanse til å ivareta kommunens sikkerhetsbehov, og til å ivareta gjeldende krav og føringer for informasjonssikkerhet. De ansatte kjenner til kommunens informasjonssikkerhetspolicy/overordnet strategi for informasjonssikkerhet. De ansatte har fått opplæring i rutiner, sikkerhetsprosedyrer og riktig bruk av informasjonssystemer. De ansatte kjenner til kommunens egne rutiner og prosedyrer for informasjonssikkerhet. De ansatte har undertegnet en taushetserklæring ved inngåelse av arbeidsforholdet. Østfold kommunerevisjon iks

196 9.2. Utplukk til phishing-test Ansvarsnummer Ansvarsnavn Antall KOMMUNIKASJON INNOVASJON OG STYRING STAB OG LEDELSE (NY 2019) PU STAB (NY 2019) FAGSTAB MILJØ OG BYUTVIKLINGSETATEN FAGGRUPPE OPPMÅLING FAGGRUPPE KART/GIS REGULERING OG BYGGESAK TD STAB FOR PLAN OG UTVIKLING BE STAB OG LEDELSE BE EIENDOMSDRIFT BE EIENDOMSFORVALTNING BE BOLIGBYGG (NY 2019) VAR STAB OG LEDELSE BYDRIFT STAB OG LEDELSE (NY 2019) SKOLE FREDRIKSTAD INTERNASJONALE SKOLE (FRIS) BORGE UNGDOMSSKOLE VESTBYGDA UNGDOMSSKOLE GRESSVIK UNGDOMSSKOLE HAUGEÅSEN UNGDOMSSKOLE KRÅKERØY UNGDOMSSKOLE KVERNHUSET UNGDOMSSKOLE BEGBY BARNE- OG UNGDOMSSKOLE CICIGNON BARNE- OG UNGDOMSSKOLE GUDEBERG BARNE- OG UNGDOMSSKOLE AMBJØRNRØD SKOLE BORGE SKOLE HAUGE SKOLE HURRØD SKOLE KJØLBERG SKOLE LUNDE SKOLE MANSTAD SKOLE SAGABAKKEN SKOLE NYLENDE SKOLE NØKLEBY SKOLE REKUSTAD SKOLE K - RØD SKOLE O - RØD SKOLE RØDSMYRA SKOLE SLEVIK SKOLE TORP SKOLE TORSNES SKOLE VIKARRESSURS SFO TRARA SKOLE TROSVIK SKOLE Østfold kommunerevisjon iks

197 ÅRUM SKOLE RÅKOLLEN SKOLE RÅKOLLEN SKOLE, AVD FREDENLUND BARNEVERN ADMINISTRASJON HELSEVERN BARN OG UNGE PP - TJENESTEN FOREBYGGENDE TJENESTER TIL BARN, UNGE OG FAMILIER (NY 2019) STAB TILDELINGSKONTORET STAB TJENESTER TIL FUNKSJONSHEMMEDE BOVEILEDNING NORD - ADM/FELLES BOVEILEDNING SYD/VEST - ADM/FELLES BOVEILEDNING ØST - ADM/FELLES DAGTILBUD ADM/FELLES TJ. TIL FUNKSJ.HEMMEDE - ADMINISTRASJON STAB OMSORGSSENTRE OMSORGSSENTRE NORD - ADM OMSORGSSENTRE SYD - ADM OMSORGSSENTRE VEST - ADM OMSORGSSENTRE - ADMINISTRASJON ØSTSIDEN SYKEHJEM - ADMINISTRASJON FRSTAD KORTTIDSSENTER - AVDELING 1, ADM/FELLES 1 ETG (NY 2018) HJ.SYKEPLEIE NORD - NORD ADM/FELLES HJ.SYKEPLEIE SYD - ADM/FELLES HJ.SYKEPLEIE ØST - ADM/FELLES HJ.SYKEPLEIE VEST - ADM/FELLES HJ.SYKEPLEIE RESSURSENHET - ADM STAB MEDISINSKE TJENESTER (NY 2018) OVERGREPSMOTTAKET I ØSTFOLD (NY 2018) STAB FRISKLIV OG MESTRING 2 Sum utplukk 100 Østfold kommunerevisjon iks

198 9.3. Litteratur- og dokumentliste Følgende dokumenter ligger til grunn for faktafremstillingen: Prosedyre for organisering av personvern- og informasjonssikkerhetsarbeidet av Prosedyre for digitaliseringssjefens ansvar og myndighetsområde av Prosedyre for sikkerhetsleder personvernombud av Prosedyre for avvik personvern av Prosedyre for risikovurdering informasjonssikkerhet og personvern av Prosedyre for oppgradering og vedlikehold av programvare av Prosedyre for passord av Prosedyre for konfigurasjonskontroll av E-post av Låserutiner og adgangskontroll av Adgang til utstyr av Antivirusprogram av Avvik personvern av Rutine for elektroniske plattformkurs av Spam Phishing rutine Retningslinjer for lagring på eksterne nettsteder Fildelingstjenester av Retningslinjer for personvern og informasjonssikkerhet ansatte av Personvernerklæring av IT-sikkerhetsreglement for FK-digitaliseringsavdelingen Sikkerhetsmål av Kravspesifikasjon, standarder for IKT av Dokumentasjon for Tilgangsportalen Oversikt over IT-sikkerhetsdokumenter, Datasikkerhet av Oversikt over Firewall soner og tilganger fra Brukere og Internett Oversikt over brannmur DMZ soner i Fredrikstad kommune Klienter Dokumentasjon for Fredrikstad kommune NetBackup versjon Overordnet risiko- og sårbarhetsanalyse (ROS-analyse) 2014 av Østfold kommunerevisjon iks

199 9.4. Spørreundersøkelsen Cyberangrep og informasjonssikkerhet Spørreundersøkelsen handler om Fredrikstad kommunes rutiner og arbeid med informasjonssikkerhet. Den består av totalt 26 spørsmål/påstander/kommentarfelt og er sendt ut til samtlige ansatte i Fredrikstad kommune. For å få et mest mulig riktig bilde av kommunens praksis på feltet er din deltagelse veldig viktig. Undersøkelsen vil ta deg ca minutter å besvare. Til orientering vil resultatet av undersøkelsen bli presentert slik at enkeltpersoner ikke kan gjenkjennes. 1) * Hvor i kommunen jobber du? Seksjon for kultur, miljø og byutvikling Seksjon for utdanning og oppvekst Seksjon for helse og velferd Seksjon for innovasjon og styring Seksjon for teknisk drift Seksjon for økonomi og organisasjonsutvikling Annet 2) * Hvilken stillingsprosent har du? 1-20 % % % 61-80% 80 % eller mer 3) * Hva slags type stilling har du? Fast ansatt Engasjement/vikariat Annet Østfold kommunerevisjon iks

200 4) * Hvor lenge har du jobbet i kommunen? Under 1 år 1-3 år 4-6 år Mer enn 6 år 5) * Har du lederansvar? Ja Nei Denne informasjonen vises kun i forhåndsvisningen Følgende betingelser må være oppfylt for at spørsmålet skal vises for respondenten: Dersom spørsmålet Har du lederansvar? inneholder noen av disse alternativene Ja 6) På hvilket nivå er du leder? Seksjon Etat Virksomhet Avdeling Faggruppe/Team Annet Østfold kommunerevisjon iks

201 Denne informasjonen vises kun i forhåndsvisningen Følgende betingelser må være oppfylt for at spørsmålet skal vises for respondenten: Dersom spørsmålet Har du lederansvar? inneholder noen av disse alternativene Ja 7) Har du myndighet til å gi tilganger til kommunens systemer? Ja Nei Vet ikke Denne informasjonen vises kun i forhåndsvisningen Følgende betingelser må være oppfylt for at spørsmålet skal vises for respondenten: Dersom spørsmålet Har du myndighet til å gi tilganger til kommunens systemer? inneholder noen av disse alternativene Ja 8) Hvor viktig mener du det er at den ansatte har gjennomført e-kurs før du tildeler tilgang? Svært viktig Viktig Litt viktig Ikke viktig Vet ikke Østfold kommunerevisjon iks

202 9) * Har du fått informasjon om kommunens krav og forventninger til informasjonssikkerhet? Nei Ja, for mer enn ett år siden Ja, for under ett år siden Vet ikke 10) * Kjenner du til overordnet strategi for informasjonssikkerhet i kommunen? Kjenner ikke til den Kjenner til at den finnes, men har ikke kunnskap om den Kjenner til den, og har noe kunnskap om den Kjenner svært godt til den Vet ikke 11) * Har du fått opplæring i rutiner og prosedyrer for informasjonssikkerhet? Ja Nei Vet ikke Denne informasjonen vises kun i forhåndsvisningen Følgende betingelser må være oppfylt for at spørsmålet skal vises for respondenten: Dersom spørsmålet Har du fått opplæring i rutiner og prosedyrer for informasjonssikkerhet? inneholder noen av disse alternativene Ja Østfold kommunerevisjon iks

203 12) Når fikk du denne opplæringen? Før jeg fikk tilgang til kommunens systemer Etter jeg fikk tilgang til kommunens systemer Både før og etter jeg fikk tilgang til kommunens systemer Vet ikke Denne informasjonen vises kun i forhåndsvisningen Følgende betingelser må være oppfylt for at spørsmålet skal vises for respondenten: Dersom spørsmålet Har du fått opplæring i rutiner og prosedyrer for informasjonssikkerhet? inneholder noen av disse alternativene Ja 13) Mener du at du har fått tilstrekkelig med opplæring innenfor informasjonssikkerhet? Ja, det mener jeg Ja, men skulle gjerne hatt mer Nei, jeg har ikke fått tilstrekkelig opplæring Annet Vet ikke 14) * Har du lest "Retningslinjer for informasjonssikkerhet og personvern i Fredrikstad kommune", og signert på at du forplikter deg til å etterleve disse retningslinjene? Ja Nei Vet ikke Østfold kommunerevisjon iks

204 15) * Vet du hvem som er kommunens personvernombud? Ja Nei 16) Kjenner du til kommunens prosedyre vedrørende bruk av e- post? Kjenner ikke til prosedyre om e-post Kjenner til at det finnes en prosedyre, men har ikke kunnskap om den Kjenner til prosedyre om e-post, og har noe kunnskap om den Kjenner svært godt til prosedyre om e-post Vet ikke 17) Hender det at du benytter e-posten til private gjøremål? Du kan velge flere svaralternativer. Nei, aldri Ja, til å gjøre avtaler med familie og/eller venner Ja, til å bestille time hos behandler, lege, frisør eller annet Ja, som brukernavn på nettsider Ja, til å motta nyhetsbrev eller lignende som ikke er jobbrelatert Annet Vet ikke 18) Hvis du mottar e-post du mistenker for å være spam (søppelpost), eller et svindelforsøk - hvor sannsynlig er det at du sier ifra til IT-avdelingen? Svært sannsynlig Noe sannsynlig Lite sannsynlig Sannsynligvis ikke Vet ikke Østfold kommunerevisjon iks

205 19) * Kjenner du til "Retningslinjer for lagring på eksterne nettsteder - fildelingstjenester"? Kjenner ikke til retningslinjene Kjenner til at det finnes retningslinjer, men har ikke kunnskap om de Kjenner til retningslinjene, og har noe kunnskap om de Kjenner retningslinjene svært godt Vet ikke 20) * Er du kjent med prosedyren "Adgang til utstyr"? Kjenner ikke til prosedyren Kjenner til at det finnes en prosedyre, men har ikke kunnskap om den Kjenner til prosedyren, og har noe kunnskap om den Kjenner svært godt til prosedyren Vet ikke 21) * Disponerer du bærbar pc, ipad eller lignende, som eies av Fredrikstad kommune? Ja Nei Vet ikke Denne informasjonen vises kun i forhåndsvisningen Følgende betingelser må være oppfylt for at spørsmålet skal vises for respondenten: Dersom spørsmålet Disponerer du bærbar pc, ipad eller lignende, som eies av Fredrikstad kommune? inneholder noen av disse alternativene Ja Østfold kommunerevisjon iks

206 22) Har det hendt at noen andre har brukt utstyret? Samboer, ektefelle, barn eller lignende? Ja Nei Vet ikke 23) Kjenner du til kommunens prosedyre "Avvik personvern"? Kjenner ikke til prosedyren Kjenner til at prosedyren finnes, men har ikke kunnskap om den Kjenner til prosedyren, og har noe kunnskap om den Kjenner svært godt til prosedyren Vet ikke 24) Har du fått opplæring i rapportering av avvik i informasjonssystemene? Nei Ja, for mindre enn to år siden Ja, for mer enn to år siden Vet ikke 25) Kjenner du til kommunens prosedyre "Innsyn i e-post og annet elektronisk materiale"? Kjenner ikke til prosedyren Kjenner til at prosedyren finnes, men har ikke kunnskap om den Kjenner til prosedyren, og har noe kunnskap om den Kjenner svært godt til prosedyren Vet ikke 26) Har du andre kommentarer vedrørende kommunens arbeid med cyberangrep/informasjonssikkerhet? Østfold kommunerevisjon iks

207 ØSTFOLD KONTROLLUTVALGSSEKRETARIAT Saksnr.: 2020/58 Dokumentnr.: 1 Løpenr.: 5032/2020 Klassering: Saksbehandler: Anita Dahl Aannerød Møtebok Behandlet av Møtedato Utvalgssaksnr. Kontrollutvalget Fredrikstad /8 Statusrapport om utført forvaltningsrevisjon i 2019 Sekretariatets innstilling Sekretariatet anbefaler kontrollutvalget å fatte slikt vedtak: 1. Statusrapport om utført forvaltningsrevisjon for 2019, tas til orientering Fredrikstad, Vedlegg Statusrapport etter utført forvaltningsrevisjon for 2019 Fredrikstad kommune, datert Andre saksdokumenter (ikke vedlagt) KU - sak 18/5 «Forvaltningsrevisjonsplan » Saksopplysninger Vi viser til kommunelovens 24-2 om revisors plikt til å rapportere resultatene av sin revisjon og kontroll til kontrollutvalget. Kontrollutvalget har også et påseansvar etter kommunelovens 23-2 at kommunen har en forsvarlig revisjonen. Vurdering Østfold kommunerevisjon IKS redegjør i sin statusrapport for de prosjekt som er gjennomført i Leveransene er i henhold til vedtatt forvaltningsrevisjonsplan for perioden I statusrapporten har revisjonen vist fordelte timer på de ulike prosjektene slik at kontrollutvalget får en bedre oversikt over hvordan timene er forbruket. Fredrikstad kommune har budsjettert med 1625 timer til forvaltningsrevisjon i Revisjonen har levert 1462,5 timer per 31. desember Dette utgjør 90 % av budsjett. Mindreforbruk er tilbakebetalt til kommunen. Vi viser til vedlagte statusrapport for ytterligere detaljer. Sekretariatet anbefaler for kontrollutvalget at revisjonens statusrapport om utført forvaltningsrevisjon for 2019 tas til orientering. 207

208 Statusrapport etter utført forvaltningsrevisjon i 2019 Fredrikstad kommune Østfold kommunerevisjon IKS utfører forvaltningsrevisjon på vegne av kontrollutvalget i kommunen. Seksjon for forvaltningsrevisjon gjennomfører også andre typer undersøkelser som kontrollutvalget bestiller særskilt. Produksjon og ressursbruk Følgende arbeid er gjennomført og har vært behandlet i kontrollutvalget i perioden i 2019: Rapp halvår 2. halvår Totalt 2019 Prosjekt totalt Estimert Mer-/ mindreforbruk Administrasjon Antikorrupsjon Cyberangrep og Informasjonssikkerhet* Refusjoner og tilskudd Ekstremvær Oppfølgingsrapporter Personvern* Risiko- og vesentlighetsvurdering 405,5 53, ,5 106, , ,5 272, ,5 400* ,5 272,5* ,5* ,5 272,5* , Sum ,5 1462,5 Merknader: Kolonnen «Rapp 2018» viser hva som er rapportert i 2018 på prosjekter som ble påbegynt det året. Timene tas med for å kunne gi et bedre bilde av totalforbruk knyttet til de ulike prosjektene. Kolonnen «Estimert» angir timeantall som er estimert i vedtatt prosjektplan, mens kolonnen «Mer-/mindreforbruk» viser over- eller underforbruk i forhold til estimat for de ferdigstilte prosjektene. *Ikke ferdigstilt Administrasjon Timene dekker administrativ deltakelse i kontrollutvalg og andre fora, mindre arbeidsoppgaver, samordningsmøter med kontrollutvalgssekretariatet, utarbeidelse av statusrapporter og lignende oppgaver som ikke føres på eget prosjekt. Timeantallet er stipulert ut i fra tidligere erfaringstall, hvor alle slike oppgaver ble ført i egne kategorier i vårt timeregistreringssystem, og bygger på et gjennomsnitt over flere år. For kommunene Moss, Sarpsborg og Fredrikstad er antallet stipulert til 60 timer per år, mens for kommunene Hvaler, Råde og Rygge er antallet stipulert til 30 timer per år. østfold kommunerevisjon iks 1 208

209 Antikorrupsjon Prosjektplan ble vedtatt av kontrollutvalget 15. mai 2018 (sak 18/20). Vedtaket var i tråd med revisjonens forslag. Det ble foretatt en risikobasert avgrensning i mandatet etter gjennomført oppstartsmøte med administrasjonen. Revisjonen informerte om avgrensningen i kontrollutvalgets møte 19. september 2018, sak 18/48. ØKR gjennomførte en minikonkurranse i tilknytning til forvaltningsrevisjonen og tildelte oppdraget til Bodhild Laastad som har bred erfaring fra forvaltningsrevisjoner innen blant annet internkontroll. Revisjonen ble noe forsinket med levering av prosjektet grunnet blant annet bytte av kontaktperson i administrasjonen og noe utfordringer knyttet til å hente ut respondenter i forbindelse med gjennomføring av spørreundersøkelser. Prosjektet ble behandlet i kontrollutvalgets møte 27. mars 2019, sak 19/15. Revisjonen har brukt totalt 470 timer på prosjektet. Dette er over estimat på 450 timer, men innenfor 10 % feilmargin. Cyberangrep og informasjonssikkerhet Prosjektplan ble vedtatt av kontrollutvalget 13. juni 2018 (sak 18/30). Vedtaket var i tråd med revisjonens forslag. Etter avholdt oppstartsmøte besluttet revisjonen å undersøke muligheten for å benytte seg av IT-ekspertise for å gjøre enkelte undersøkelser i tilknytning til prosjektets problemstillinger. Revisjonen gjorde flere undersøkelser i IT-miljøet, blant annet var vi i kontakt med ITselskaper og Høgskolen i Østfold for å se hvilke muligheter som fantes. Vi inngikk avtale med et eksternt firma som leverer IT-sikkerhetstjenester. Dette arbeidet tok lenger tid enn forventet, slik at levering av rapport også ble tilsvarende forsinket. Rapport fra revisjonen skal etter planen leveres til kontrollutvalgets første møte i I 2019 har revisjonen brukt 400 timer på prosjektet, og ser for oss å levere rapporten noe under estimat. Dette skyldes at vi tok utgangspunktet i problemstillinger som berørte både IT-sikkerhet, men også informasjonssikkerhet og grensene opp mot personvernregelverket -GDPR. Personvern undersøkes i eget prosjekt, og vi valgte derfor å se nærmere på de temaene som faller naturlig inn under personvernområdet i egen rapport på personvernområdet. Refusjoner og tilskudd Prosjektplan ble behandlet av kontrollutvalget 13. juni 2018 (sak 18/29). KU ønsket å utvide prosjektet i forhold til revisjonens forslag. Ny prosjektplan med en ekstra problemstilling ble derfor behandlet og vedtatt i kontrollutvalgets i møte 19. september 2018 (sak 18/41). Rapport fra prosjektet ble behandlet i kontrollutvalgets møte 27. mars i Revisjonen har brukt totalt 390 timer på prosjektet, 10 timer under estimert tidsbruk på 400 timer. Dette er innenfor feilmargin på +/- 10 %. Ekstremvær Prosjektplan ble behandlet i kontrollutvalget 27. mars Prosjektplan ble vedtatt i tråd med revisjonens forslag. Revisjonen informerte om fremdrift i kontrollutvalgets møte 19. juni I møtet hadde kontrollutvalget flere spørsmål de ønsket belyst i revisjonen. Revisjonen fikk enkelte innspill fra kontrollutvalget i møtet 19. juni (sak 19/33). Revisjonen hadde kommet for langt i arbeidet med prosjektet til å kunne gjennomføre en fullstendig østfold kommunerevisjon iks 2 209

210 forvaltningsrevisjon av disse temaene, men gjorde en deskriptiv beskrivelse av temaene kontrollutvalget ønsket belyst. Rapport fra prosjektet ble levert til kontrollutvalget i møtet 2. oktober 2019 (sak 19/46). Revisjonen har brukt 240 timer på prosjektet. Alle timene er levert i Dette er noe under estimat på 300 timer, og skyldes at revisjonen valgte å gjennomføre prosjektet på et overordnet nivå, blant annet fordi kommunens beredskapsplan fortsatt var under utarbeidelse, og vi anser det hensiktsmessig at planen er implementert før vi går nærmere inn og undersøker praksisen nedover i organisasjonen. Oppfølgingsrapporter I kontrollutvalgets møte 13. februar 2019, sak 19/9 ble det vedtatt at revisjonen skulle utarbeide oppfølgingsrapporter på følgende forvaltningsrevisjonsprosjekter: Minoritetsspråklige barn i skolen Tildeling av helse- og velferdstjenester Det ble satt av inntil 150 timer til utarbeidelse av disse rapportene. Rapport fra oppfølgingene ble behandlet i kontrollutvalget 27. november (sak 19/65 og 19/66). Revisjonen har brukt henholdsvis 60 og 58,5 timer på rapportene. Dette er innenfor rammen som ble avsatt til dette. Personvern Prosjektplan ble behandlet i kontrollutvalgets møte 27. november 2019, (sak 19/69). Prosjektplan ble vedtatt i tråd med revisjonens forslag. Revisjonen har levert 272,5 timer på prosjektet i 2019, og rapport er planlagt levert til kontrollutvalget våren Risiko- og vesentlighetsvurdering Arbeidet med risiko- og vesentlighetsvurdering ble gjennomført høsten Erfaringsmessig bruker revisjonen omlag 100 timer på gjennomføring av slike analyser. I 2019 brukte revisjonen 115 timer til dette arbeidet. Vurderingen ble lagt frem for kontrollutvalget som en del av behandlingen av forvaltningsrevisjonsplan i kontrollutvalgets møte 27. november 2019 (sak 19/68). Total leveranse Fredrikstad kommune har budsjettert med 1625 timer til forvaltningsrevisjon i Revisjonen har levert 1462,5 timer i Dette tilsvarer en leveringsgrad på 90 %. Mindreforbruket er tilbakebetalt til kommunen. Rolvsøy, 24. januar 2020 Lene Brudal (sign.) konstituert seksjonsleder forvaltningsrevisjon østfold kommunerevisjon iks 3 210

211 ØSTFOLD KONTROLLUTVALGSSEKRETARIAT Saksnr.: 2020/63 Dokumentnr.: 5 Løpenr.: 7398/2020 Klassering: Saksbehandler: Anita Dahl Aannerød Møtebok Behandlet av Møtedato Utvalgssaksnr. Kontrollutvalget Fredrikstad /9 Uavhengighetserklæringer fra oppdragsansvarlige revisorer Sekretariatets innstilling Sekretariatet anbefaler kontrollutvalget å fatte slikt vedtak: 1. Uavhengighetserklæringer fra oppdragsansvarlige revisorer, tas til orientering Fredrikstad, Vedlegg Uavhengighetserklæringer fra oppdragsansvarlige revisorer Jolanta Betker og Lene Brudal, datert Andre saksdokumenter (ikke vedlagt) Kommuneloven og forskrift for kontrollutvalg og revisjon Saksopplysninger I henhold til kommunelovens 24-4 skal revisor være uavhengig og ha god vandel. I følge forskrift om kontrollutvalg og revisjon 19 skal oppdragsansvarlig revisor hvert år, og ellers ved behov, avgi til kontrollutvalget en skriftlig egenvurdering av uavhengighet. I brev til kontrollutvalget i Fredrikstad kommune har oppdragsansvarlige avgitt sin skriftlige egenvurdering om uavhengighet. Vurdering Sekretariatet kan ikke se at det er forhold som tilsier at revisors uavhengighet ikke er ivaretatt. Sekretariatet anbefaler derfor kontrollutvalget om at uavhengighetserklæring fra oppdragsansvarlige revisorer tas til orientering. 211

212 Østre Viken kommunerevisjon IKS Til kontrollutvalget i Fredrikstad kommune Vurdering av uavhengighet konst. daglig leder Jolanta Betker, i forhold til Fredrikstad kommune. Innledning I henhold til Lov om kommuner og fylkeskommuner(kommuneloven) 24-4 skal revisor være uavhengig og ha god vandel. Departementet kan gi forskrift om krav til revisors uavhengighet og vandel, men forskriften er pr. i dag ikke fastsatt. Oppfølging av dette kravet tilligger kontrollutvalget, jamfør merknader til nevnte bestemmelse. I henholdt til tidligere bestemmelser skal oppdragsansvarlig revisor hvert år, og ellers ved behov, avgi en skriftlig egenvurdering av sin uavhengighet til kontrollutvalget. Krav til uavhengighet og objektivitet gjelder også for revisors medarbeidere, men det er kun oppdragsansvarlige revisorer som plikter å legge fram en skriftlig vurdering for kontrollutvalget. Uttalelsen gjelder Fredrikstad kommune, og oppdrag knyttet til Fredrikstad kommune gjennom ramme- og revisjonsavtale. Lovgivningsmessige krav til revisors uavhengighet Følgende fremgår av tidligere kommunelovens 79: Den som foretar revisjon for en kommune eller fylkeskommune kan ikke ivareta revisjons- og kontrolloppdrag for kommunen eller fylkeskommunen dersom revisor eller dennes nærstående har en slik tilknytning til revidert eller kontrollert virksomhet, dens ansatte eller tillitsmenn, at dette kan svekke revisors uavhengighet og objektivitet. Som nærstående regnes a) ektefelle og en person som vedkommende bor sammen med i ekteskapsliknende forhold b) slektninger i rett oppstigende eller nedstigende linje og søsken, og deres ektefeller eller personer som de bor sammen med i ekteskapsliknende forhold og c) slektninger i rett oppstigende eller nedstigende linje og søsken til en person som nevnt under bokstav a. Det samme gjelder dersom det foreligger særegne forhold som er egnet til å svekke tilliten til revisors uavhengighet og objektivitet ved gjennomføring av oppgavene. Ansettelse som revisor i kommunen eller fylkeskommunen, eller i en interkommunal samarbeidsordning, medfører ikke i seg selv at revisoren mangler nødvendig uavhengighet og objektivitet. Østfold kommunerevisjon IKS Råkollveien 103, Postboks 24, 1662 Rolvsøy E-post: limk@fredrikstad.kommune.no Internett: Telefon telefaks Bankkontonr Org.nr

213 Krav til uavhengighet var nærmere spesifisert i tidligere revisjonsforskrift 13. Revisor kan etter denne forskrift ikke inneha andre stillinger hos kommunen eller fylkeskommunen eller i virksomhet som den kommunen eller fylkeskommunen deltar i ved siden av revisoroppdraget. Revisor kan ikke være medlem av styrende organer i virksomhet som kommunen eller fylkeskommunen deltar i. Revisor kan ikke delta i, eller ha funksjoner i annen virksomhet når dette kan føre til at vedkommendes interesser kommer i konflikt med interessene til oppdragsgiverne eller på annen måte er egnet til å svekke tilliten til den som foretar revisjon. I tillegg er det følgende begrensninger ved gjennomføring av oppgaver, jf. tidligere revisjonsforskrift 14: revisor kan ikke utføre rådgivnings- eller andre tjenester der dette er egnet til å påvirke eller reise tvil om revisors uavhengighet og objektivitet revisor kan ikke yte tjenester som hører inn under den revisjonspliktiges (dvs kommunens) egne ledelses- og kontrolloppgaver revisor kan ikke opptre som fullmektig for den revisjonspliktige, unntatt ved bistand i skattesaker etter domstolloven. Oppdragsansvarlig revisors vurdering av uavhengighet Pkt 1: Ansettelsesforhold Pkt 2: Medlem i styrende organer Pkt 3: Delta eller inneha funksjoner i annen virksomhet, som kan føre til interessekonflikt eller svekket tillit Pkt 4: Nærstående Pkt 5: Rådgivningseller andre tjenester som er egnet til å påvirke revisors habilitet Undertegnede har ikke ansettelsesforhold i andre stillinger enn i Østre Viken kommunerevisjon, som kan komme i strid med rollen som oppdragsansvarlig revisor. Undertegnede er ikke medlem av styrende organ i noen virksomhet som Fredrikstad kommune deltar i. Undertegnede deltar ikke i eller innehar funksjoner i annen virksomhet som kan føre til interessekonflikt eller svekket tillit til rollen som revisor. Undertegnede har ikke nærstående som har tilknytning til Fredrikstad kommune som har betydning for uavhengighet og objektivitet. Før slike tjenester utføres foretas en vurdering av rådgivningens eller tjenestens art i forhold til revisors uavhengighet og objektivitet. Dersom vurderingen konkluderer med at utøvelse av slik tjeneste kommer i konflikt med bestemmelsen i forskriften 14, skal revisor ikke utføre tjenesten. Hvert enkelt tilfelle må vurderes særskilt. Revisor besvarer løpende spørsmål/henvendelser som er å betrakte som veiledning og bistand og ikke revisjon. Paragrafen sier at også slike veiledninger må skje med varsomhet og på en måte som ikke binder opp revisors senere revisjons- og kontrollvurderinger. 213

214 Pkt 6: Tjenester under kommunens egne ledelses- og kontrolloppgaver Pkt 7: Opptre som fullmektig for den revisjonspliktige Pkt 8: Andre særegne forhold Undertegnede har ikke ytet rådgivnings- eller andre tjenester overfor Fredrikstad kommune som kommer i konflikt med denne bestemmelsen. Undertegnede har ikke ytet tjenester overfor Fredrikstad kommune som hører inn under kommunens egne ledelses- og kontrolloppgaver. Undertegnede opptrer ikke som fullmektig for Fredrikstad kommune. Undertegnede kjenner ikke til andre særegne forhold som er egnet til å svekke tilliten til uavhengighet og objektivitet. Rolvsøy, Jolanta Betker (sign.) Østre Viken kommunerevisjon IKS 214

215 Østre Viken kommunerevisjon IKS Til kontrollutvalget i Fredrikstad kommune Vurdering av uavhengighet for Lene Brudal konst. seksjonsleder for forvaltningsrevisjon, i forhold til Fredrikstad kommune. Innledning I henhold til Lov om kommuner og fylkeskommuner(kommuneloven) 24-4 skal revisor være uavhengig og ha god vandel. Departementet kan gi forskrift om krav til revisors uavhengighet og vandel, men forskriften er pr. i dag ikke fastsatt. Oppfølging av dette kravet tilligger kontrollutvalget, jamfør merknader til nevnte bestemmelse. I henholdt til tidligere bestemmelser skal oppdragsansvarlig revisor hvert år, og ellers ved behov, avgi en skriftlig egenvurdering av sin uavhengighet til kontrollutvalget. Krav til uavhengighet og objektivitet gjelder også for revisors medarbeidere, men det er kun oppdragsansvarlige revisorer som plikter å legge fram en skriftlig vurdering for kontrollutvalget. Uttalelsen gjelder Fredrikstad kommune, og oppdrag knyttet til Fredrikstad kommune gjennom ramme- og revisjonsavtale. Lovgivningsmessige krav til revisors uavhengighet Følgende fremgår av tidligere kommunelovens 79: Den som foretar revisjon for en kommune eller fylkeskommune kan ikke ivareta revisjons- og kontrolloppdrag for kommunen eller fylkeskommunen dersom revisor eller dennes nærstående har en slik tilknytning til revidert eller kontrollert virksomhet, dens ansatte eller tillitsmenn, at dette kan svekke revisors uavhengighet og objektivitet. Som nærstående regnes a) ektefelle og en person som vedkommende bor sammen med i ekteskapsliknende forhold b) slektninger i rett oppstigende eller nedstigende linje og søsken, og deres ektefeller eller personer som de bor sammen med i ekteskapsliknende forhold og c) slektninger i rett oppstigende eller nedstigende linje og søsken til en person som nevnt under bokstav a. Det samme gjelder dersom det foreligger særegne forhold som er egnet til å svekke tilliten til revisors uavhengighet og objektivitet ved gjennomføring av oppgavene. Ansettelse som revisor i kommunen eller fylkeskommunen, eller i en interkommunal samarbeidsordning, medfører ikke i seg selv at revisoren mangler nødvendig uavhengighet og objektivitet. Østfold kommunerevisjon IKS Råkollveien 103, Postboks 24, 1662 Rolvsøy E-post: limk@fredrikstad.kommune.no Internett: Telefon telefaks Bankkontonr Org.nr

216 Krav til uavhengighet var nærmere spesifisert i tidligere revisjonsforskrift 13. Revisor kan etter denne forskrift ikke inneha andre stillinger hos kommunen eller fylkeskommunen eller i virksomhet som den kommunen eller fylkeskommunen deltar i ved siden av revisoroppdraget. Revisor kan ikke være medlem av styrende organer i virksomhet som kommunen eller fylkeskommunen deltar i. Revisor kan ikke delta i, eller ha funksjoner i annen virksomhet når dette kan føre til at vedkommendes interesser kommer i konflikt med interessene til oppdragsgiverne eller på annen måte er egnet til å svekke tilliten til den som foretar revisjon. I tillegg er det følgende begrensninger ved gjennomføring av oppgaver, jf. tidligere revisjonsforskrift 14: revisor kan ikke utføre rådgivnings- eller andre tjenester der dette er egnet til å påvirke eller reise tvil om revisors uavhengighet og objektivitet revisor kan ikke yte tjenester som hører inn under den revisjonspliktiges (dvs kommunens) egne ledelses- og kontrolloppgaver revisor kan ikke opptre som fullmektig for den revisjonspliktige, unntatt ved bistand i skattesaker etter domstolloven. Oppdragsansvarlig revisors vurdering av uavhengighet Pkt 1: Ansettelsesforhold Pkt 2: Medlem i styrende organer Pkt 3: Delta eller inneha funksjoner i annen virksomhet, som kan føre til interessekonflikt eller svekket tillit Pkt 4: Nærstående Pkt 5: Rådgivningseller andre tjenester som er egnet til å påvirke revisors habilitet Undertegnede har ikke ansettelsesforhold i andre stillinger enn i Østre Viken kommunerevisjon, som kan komme i strid med rollen som oppdragsansvarlig revisor. Undertegnede er ikke medlem av styrende organ i noen virksomhet som Fredrikstad kommune deltar i. Undertegnede deltar ikke i eller innehar funksjoner i annen virksomhet som kan føre til interessekonflikt eller svekket tillit til rollen som revisor. Undertegnede har ikke nærstående som har tilknytning til Fredrikstad kommune som har betydning for uavhengighet og objektivitet. Før slike tjenester utføres foretas en vurdering av rådgivningens eller tjenestens art i forhold til revisors uavhengighet og objektivitet. Dersom vurderingen konkluderer med at utøvelse av slik tjeneste kommer i konflikt med bestemmelsen i forskriften 14, skal revisor ikke utføre tjenesten. Hvert enkelt tilfelle må vurderes særskilt. Revisor besvarer løpende spørsmål/henvendelser som er å betrakte som veiledning og bistand og ikke revisjon. Paragrafen sier at også slike veiledninger må skje med varsomhet og på en måte som ikke binder opp revisors senere revisjons- og kontrollvurderinger. 216

217 Pkt 6: Tjenester under kommunens egne ledelses- og kontrolloppgaver Pkt 7: Opptre som fullmektig for den revisjonspliktige Pkt 8: Andre særegne forhold Undertegnede har ikke ytet rådgivnings- eller andre tjenester overfor Fredrikstad kommune som kommer i konflikt med denne bestemmelsen. Undertegnede har ikke ytet tjenester overfor Fredrikstad kommune som hører inn under kommunens egne ledelses- og kontrolloppgaver. Undertegnede opptrer ikke som fullmektig for Fredrikstad kommune. Undertegnede kjenner ikke til andre særegne forhold som er egnet til å svekke tilliten til uavhengighet og objektivitet. Rolvsøy, Lene Brudal (sign.) Østre Viken kommunerevisjon IKS 217

218 ØSTFOLD KONTROLLUTVALGSSEKRETARIAT Saksnr.: 2020/63 Dokumentnr.: 7 Løpenr.: 16879/2020 Klassering: Saksbehandler: Anita Dahl Aannerød Møtebok Behandlet av Møtedato Utvalgssaksnr. Kontrollutvalget Fredrikstad /10 Henvendelse fra privatperson Sekretariatets innstilling Sekretariatet anbefaler kontrollutvalget å fatte slikt vedtak: 1. Saken legges frem uten forslag til innstilling. Fredrikstad, Vedlegg Vedlegg 1: Henvendelse fra privatperson til kontrollutvalget, unnt.off i henhold til Off.lova ledd, (eget vedlegg) Vedlegg 2: Vedlegg fra privatperson, unnt.off i henhold til Off.lova ledd, (eget vedlegg) Andre saksdokumenter (ikke vedlagt) Ingen Saksopplysninger Kontrollutvalgsleder har mottatt en henvendelse fra en privatperson. Saken gjelder blant annet et varsel til Fredrikstad kommune angående kritikkverdige forhold som myndighetsmisbruk. Saken er tidligere lagt frem for varslingssekretariatet. Imidlertid var det på det tidspunktet ikke varslingssekretariatets mandat å håndtere varsler som er utenfor arbeidsmiljølovens kapittel 2A. Det vil si ansattes rett til å varsle om kritikkverdige forhold. Henvendelsen er unntatt offentlighet og blir tilsendt kontrollutvalgsmedlemmer som eget vedlegg. Vurdering Kontrollutvalget har ikke plikt til å behandle andre enn de saker som det får seg forelagt fra kommunestyret, eller der det framgår av lov og forskrift. Kontrollutvalget er ikke et klageorgan, og skal ikke behandle klager på vedtak som har vært til administrativ eller politisk behandling. Klager eller krav om å få omgjort vedtak må behandles i kommunens klageinstanser i tråd med forvaltningsloven. For klager på 218

219 enkeltvedtak er det klagenemder, kommunestyret, formannskapet eller fylkesmannen som er klageinnstans, og klagen skal fremsettes for det organet som fattet vedtaket. Det kontrollutvalget kan gjøre, på generelt grunnlag og med fokus på systemkontroll, er å undersøke henvendelser som kan tyde på svikt i den kommunale saksbehandlingen, eller at kommunen ikke følger de lover og retningslinjer den er underlagt. Kontrollutvalgets arbeid med lovpålagte og planlagte saker kan gjerne suppleres av dagsaktuelle saker knyttet til offentlig forvaltning. Dessuten ligger det til kontrollutvalget å vurdere om blant annet innspill fra innbyggerne kan eller bør inngå i en større systemkontroll. Kontrollutvalget må avgjøre om saken skal undersøkes nærmere basert på den dokumentasjonen som foreligger. Sekretariatet viser for øvrig til at det fra er åpnet for at private varslere nå kan varsle til Fredrikstad kommunes eksterne varslingsorgan. Sekretariatets vurdering er derfor at varsler fra eksterne (ikke ansatte) bør sendes til dette varslingsorganet. Kontrollutvalget er ikke et varslingsorgan. Kontrollutvalget må samlet avgjøre om de ønsker å gå videre med henvendelsen eller ikke. Sekretariatet legger frem saken uten forslag til innstilling. 219

220 ØSTFOLD KONTROLLUTVALGSSEKRETARIAT Saksnr.: 2020/63 Dokumentnr.: 8 Løpenr.: 16905/2020 Klassering: Saksbehandler: Anita Dahl Aannerød Møtebok Behandlet av Møtedato Utvalgssaksnr. Kontrollutvalget Fredrikstad /11 Henvendelse angående spørsmål om lovlighet ved et vedtak i planutvalget Sekretariatets innstilling Sekretariatet anbefaler kontrollutvalget å fatte slikt vedtak: 1. Saken legges frem uten forslag til innstilling fra sekretariatet. Fredrikstad, Vedlegg Vedlegg 1: Brev til kontrollutvalget via sekretariatet, datert den «Undersøkelse av om medlemmene av planutvalget har pådratt seg straffeansvar i forbindelse dispensasjonsvedtaket i tilknytning til «Onsøyheimen». Vedlegg 2: E-post til fylkesmannen, datert 26.januar 2020 «Tilleggsopplysninger - anmodning om lovlighetskontroll Fredrikstad kommune Onsøyheimen». Andre saksdokumenter (ikke vedlagt) Planutvalget sak 4/20, den Saksopplysninger Kontrollutvalgssekretariatet har mottatt en henvendelse. Saken gjelder et dispensasjonsvedtak som er gjort i planutvalget i sak 4/20, den sak «Søknad om rammetillatelse for nytt sykehjem - søknad om dispensasjoner». Den som henvender seg beskriver at planutvalget i saken fattet et ulovlig vedtak, og argumenterer for at planutvalget ikke har rett til å gi dispensasjoner dersom dispensasjon innebærer et vesentlig avvik fra reguleringsplan. Henvendelsen ligger i sin helhet i vedlegg 1 i saken. Henvender skriver også følgende: «Det er således grunn til å hevde at det foreligger myndighetsmisbruk og at dette er gjort med forsett av planutvalgets medlemmer. Etter undertegnedes vurdering kan det reises spørsmål om medlemmene av planutvalget har gjort seg skyldige i straffbar overtredelse av straffeloven og plan- og bygningsloven.» I etterkant av henvendelsen har sekretariatet blitt satt som kopimottaker på en e-post til fylkesmannen. Her ber henvender seg om at fylkesmannen gjør en lovlighetskontroll av vedtaket. Henvendelsen ligger i sin helhet i vedlegg 2 til saken. 220

221 Vurdering Kontrollutvalget har ikke plikt til å behandle andre enn de saker som det får seg forelagt fra kommunestyret, eller der det framgår av lov og forskrift. Kontrollutvalget er ikke et klageorgan, og skal ikke behandle klager på vedtak som har vært til administrativ eller politisk behandling. Klager eller krav om å få omgjort vedtak må behandles i kommunens klageinstanser i tråd med forvaltningsloven. For klager på enkeltvedtak er det klagenemder, kommunestyret, formannskapet eller fylkesmannen som er klageinnstans, og klagen skal fremsettes for det organet som fattet vedtaket. Politiske vedtak som ikke retter seg mot enkeltpersoner eller interessegrupper med rettslig klageinteresse, kan derimot ikke påklages. Det kontrollutvalget kan gjøre, på generelt grunnlag og med fokus på systemkontroll, er å undersøke henvendelser som kan tyde på svikt i den kommunale saksbehandlingen, eller at kommunen ikke følger de lover og retningslinjer den er underlagt. Kontrollutvalgets arbeid med lovpålagte og planlagte saker kan gjerne suppleres av dagsaktuelle saker knyttet til offentlig forvaltning. Dessuten ligger det til kontrollutvalget å vurdere om blant annet innspill fra innbyggerne kan eller bør inngå i en større systemkontroll. I henhold til forskrift om kontrollutvalg og revisjon 1kan imidlertid ikke kontrollutvalget overprøve politiske prioriteringer som er foretatt av kommunens folkevalgte organer eller andre kommunale organer. Likevel kan kontrollutvalget si fra til bystyret hvis de er i ferd med å fatte et ulovlig vedtak. Kontrollutvalget er imidlertid ikke stedet for å drive omkamp over politiske saker der bystyret har fattet vedtak. Sekretariatet vurderer at kontrollutvalget må avgjøre om saken skal undersøkes nærmere basert på den dokumentasjonen som foreligger. Kontrollutvalget kan be om en undersøkelse for å se om vedtaket som ble fattet er lovlig. Imidlertid er det ikke kontrollutvalgets oppgave å gjøre vurderinger vedrørende straffeansvar for folkevalgte eller ansatte. Dette må i såfall vurderes via rettssystemet. Kontrollutvalget bør også avvente saken hvis fylkesmannen gjennomfører en lovlighetskontroll av vedtaket. Sekretariatet legger frem saken uten forslag til innstilling siden kontrollutvalget samlet bør drøfte saken. Et forslag til innstilling kan likevel være: Kontrollutvalget tar henvendelsen til orientering og avventer fylkesmannens respons angående forespørsel om lovlighetskontroll. 221

222 222

223 223

224 224

225 225

226 226

227 227

228 228

229 229

230 230

231 231

232 ØSTFOLD KONTROLLUTVALGSSEKRETARIAT Saksnr.: 2020/63 Dokumentnr.: 3 Løpenr.: 4291/2020 Klassering: Saksbehandler: Anita Dahl Aannerød Møtebok Behandlet av Møtedato Utvalgssaksnr. Kontrollutvalget Fredrikstad /12 Kontrollutvalgets årsmelding 2019 Sekretariatets innstilling Sekretariatet anbefaler kontrollutvalget å fatte slikt vedtak: 1. Kontrollutvalgets årsmelding for 2019 godkjennes. 2. Årsmeldingen oversendes bystyret med følgende forslag til vedtak: Kontrollutvalgets årsmelding for 2019 tas til orientering Fredrikstad, Vedlegg 1. Kontrollutvalgets årsmelding for 2019 Andre saksdokumenter (ikke vedlagt) Ingen Saksopplysninger I henhold til kommunelovens 23-5 skal kontrollutvalget avgi rapport til bystyret om sin aktivitet. I samsvar med tidligere praksis avgir kontrollutvalget sin årsmelding til behandling i bystyret. Vurdering Årsmeldingen skal gi bystyret informasjon om kontrollutvalgets oppgaver og ansvar, møteog informasjonsaktivitet. Årsmeldingen gir også uttrykk for hva som er gjennomført av regnskapsrevisjon, forvaltningsrevisjon og eierskapskontroll, samt resultatet og oppfølging av disse kontrollene. Sekretariatet anbefaler kontrollutvalget at vedlagte årsmelding for 2019 vedtas. Årsmeldingen oversendes til bystyret med følgende forslag vedtak: Kontrollutvalgets årsmelding for 2019 tas til orientering 232

233 Fredrikstad kommune Østfold kontrollutvalgssekretariat ØKUS 233

234 Kontrollutvalgets hjemmelsgrunnlag Bestemmelsene om at kommunen skal ha et eget kontrollutvalg ble først hjemlet i kommuneloven av 25. september Siste reviderte bestemmelser i kommuneloven om kontrollutvalg er av 22. juni Det fremkommer i kommunelovens kapittel 23, 23-1 at «Kommunestyret velger selv et kontrollutvalg som skal føre løpende kontroll på deres vegne. Figuren under viser at det fra kommunestyret/bystyret går to styringslinjer. Den ene går fra kommunestyret/bystyret til administrasjonssjefen som har ansvaret for gjennomføringen av kommunens tjenesteproduksjon, planlegging og myndighetsutøvelse. Den andre styringslinjen representerer en uavhengig og ekstern kontroll som går gjennom kontrollutvalget. Etterlevelses kontroll Oppfølging av regnskapsrevisjonen Kontrollutvalgets ansvar for å påse at regnskapsrevisjonen fungerer på en betryggende måte ivaretas blant annet gjennom at kontrollutvalget får seg forelagt revisjonsplaner, resultater etter kvalitetskontroller i revisjonen og uavhengighetserklæringer fra oppdragsansvarlige revisorer. I tillegg blir kontrollutvalget informert om spesielle forhold og funn som revisjonen har gjort. Plan for forvaltningsrevisjon Kontrollutvalget skal minst en gang i valgperioden utarbeide en plan for gjennomføring av forvaltningsrevisjon. Bystyret skal vedta planen. Bystyret kan delegere til kontrollutvalget å foreta endringer i planperioden. Plan for eierskapskontroll Kontrollutvalget skal minst en gang i valgperioden utarbeide en plan for gjennomføring av eierskapskontrollen. Bystyret skal vedta planen. Bystyret kan delegere til kontrollutvalget å foreta endringer i planperioden. Kontrollutvalgets oppgaver/ansvar Kommunaldepartementet har i forskrift om kontrollutvalg og revisjon, av 17. juni 2019, gitt nærmere bestemmelser om kontrollutvalgets saksbehandling og oppgaver. Påse-ansvaret Kontrollutvalget har fire primære tilsyns- og kontrolloppgaver: Påse at kommunes regnskaper blir revidert på en betryggende måte Påse at det gjennomføres forvaltningsrevisjon Påse at kommunen fører kontroll med sine interesser i selskaper mm. Rapportering Kontrollutvalget skal avgi rapport til bystyret om hvilke forvaltningsrevisjoner og selskapskontroller som er gjennomført og resultatet av disse. Budsjettbehandling for kontrollarbeidet Kontrollutvalget skal utarbeide forslag til budsjett for kontrollarbeidet i kommunen. Forslaget skal inneholde kostnadene til drift av kontrollutvalget, utvalgets sekretariat og den valgte revisjonen. Innstilling på valg av revisor og revisjonsordning Bystyret avgjør selv om kommunen skal ansette egne revisorer, delta i IKS eller inngå avtale med annen revisor. Vedtaket treffes etter innstilling fra kontrollutvalget. Kontrollutvalgets årsmelding