Helseforetakenes senter for pasientreiser ANS

Transkript

1 Helseforetakenes senter for pasientreiser ANS 2/2013 Rapport - Oppfølging av tidligere gjennomførte revisjoner Revisjonsrapport Internrevisjonen Side 1 av 44

2 Tidsrom for revisjonen Virksomhet Helseforetakenes senter for pasientreiser ANS Rapportmottaker Administrerende direktør Kopi (endelig rapport) Styret v/styreleder Rapportavsender Internrevisjonen Oppdragsgiver Styret Oppdragsleder Sverre Lunde Revisjonsteam Sverre Lunde Kundeansvarlig Tove Kolbeinsen Innholdsfortegnelse 1. Sammendrag Kort om området som skal revideres Formål, problemstillinger og metode Revisjonskriterier Vurderingskriterier Oppsummering av funn Vedlegg Informasjonsgrunnlag Gjennomførte intervjuer Saksgang Revisjonsrapport Internrevisjonen Side 2 av 44

3 1. Sammendrag Hovedfunn Pasientreiser ANS har etablert en avtale med konsernrevisjonen i Helse Sør-Øst RHF om levering av internrevisjonstjenester. Det er så langt gjennomført tre revisjonsprosjekter (Prosjekter 1-3, 2011). Denne revisjonen er en oppfølgingsrevisjon hvor anbefalinger og styrets vedtatte tiltaksplaner som fulgte av de tre første revisjonene er gjennomgått og vurdert. Til sammen 57 tiltak knyttet til røde og gule observasjoner er gjennomgått. Fokus har vært på i hvilken grad tiltakene er implementert, og hvordan utvalgte tiltak fungerer etter hensikten, og om det er akseptabel risiko på reviderte områder etter gjennomføring av tiltakene. Selskapets system for oppfølging av interne revisjonsprosjekter er også vurdert. Hovedkonklusjonen er at styrets vedtatte tiltak er tilfredsstillende fulgt opp, og at Pasientreiser ANS har etablert et hensiktsmessig system for oppfølging av interne revisjonsrapporter. Vi har likevel funnet følgende forbedringsområder: Revisjon virksomhetsstyring del 1: 1) Kontinuitets og beredskapssystem. Avsnitt (s 39) - det er så langt ikke gjennomført beredskapsøvelser i Pasientreiser ANS 2) Risikovurderinger. Avsnitt (s 34) - Det er nedlagt et betydelig arbeid i å forbedre selskapets tilnærming til risikostyring og internkontroll. Metodedokumentet inneholder imidlertid ikke definisjoner av sentrale begreper. Det er enkelte tiltak som ikke er ferdigstilt, men hvor arbeidet pågår. Et av disse harmonisering mellom selskapsavtalen og SLA berører selve styringsmodellen for pasientreiser og eies ikke fullstendig av selskapet selv. For både dette og andre tiltak med utsatt ferdigstillelse er det tilfredsstillende redegjort for årsaker og planlagt fremdrift i rapporteringen til styret. Konklusjoner Det er ikke observert vesentlige feil og/eller svakheter i styring og kontroll i prosessen som er kartlagt. Det er ikke behov for tiltak. Vi har likevel enkelte anbefalinger. Anbefalinger Internrevisjonen anser at det ikke er vesentlig risiko for Pasientreiser, knyttet til det fåtall av tiltak som enda ikke er ferdigstilt. Internrevisjonen anbefaler at Pasientreiser vurderer å sette i verk følgende tiltak: Pasientreiser ANS bør gjennomføre regelmessige Beredskapsøvelser og innarbeide dette sin krise- og beredskapsplan For å gjøre metodikken for risikostyring og internkontroll enda mer tilgjengelig anbefaler vi at det inntas definisjoner av sentrale begreper i dokumentet «Mal og rutine for risikovurdering. Revisjonsrapport Internrevisjonen Side 3 av 44

4 2. Kort om området som skal revideres Beskrivelse av område/prosess som er revidert Oppfølging av tiltak etter revisjon av selskapets prosesser for systemforvaltning (1/2011) Målsettinger for området/prosessen som er revidert Pasientreiser ANS har systemeierskapet for direkteoppgjør (NISSY), telefontjenesten og reiser uten rekvisisjon i enkeltoppgjørsregisteret (PRO). Systemeierskapet krever god systemforvaltning for at systemene skal bidra til selskapets måloppnåelse. Oppfølging av tiltak etter revisjon av selskapets prosesser for SLA (2/2011) Oppfølging av tiltak etter revisjon av selskapets system og prosesser for virksomhetsstyring (3/2011). Med virksomhetsstyring menes de prosessene og aktivitetene som gjennomføres for å sette interne mål, definere oppgaver og aktiviteter for å oppfylle målene, å måle resultater mot målene og bruk av informasjonen til å ha styring, kontroll og læring for å utvikle og forbedre sin interne virksomhet. Det er etablert tjenesteavtaler som regulerer ansvaret mellom pasientreiser ANS de regionale helseforetakene, samt at gjennom selskapsavtalen har også Pasientreiser et sørge for -ansvar innenfor pasientreiseområdet (selskapsavtalen pkt 5). Formålet med tjenestenivåavtalen er å ha en omforent tolkning av hvilke tjenester Pasientreiser ANS skal levere, hva tjenesten inneholder og dens målsetning (tjenestekvalitet). Virksomhetsstyring brukes her om Pasientreiser ANS interne styring og oppfølging av oppgaver som skal gjennomføres for å levere tjenester som oppfyller overordnede føringer fra eierne og i samsvar med inngåtte avtaler. Revisjonsrapport Internrevisjonen Side 4 av 44

5 Avgrensninger Hovedfokus rettes mot anbefalinger/tiltak som vurderes å ha høy vesentlighet (virker mot risikoer som vurderes som høy), eller som ikke er implementert. Alle funn i alle tre revisjoner er gjennomgått. Videre er alle funn kategorisert med rød eller gul farge fulgt opp og vurdert i denne rapportens del 6. Styrets vedtatte tiltak (til sammen 57) knyttet til de enkelte av disse funnene er kommentert med hensyn til om tiltakene er vurdert å være tilfredsstillende gjennomført. For en rekke tiltak er det innhentet dokumenter som underbygger om tiltakene er gjennomført, se oversikt i vedlegg 7.1. Alle observasjoner og vurderinger er i tillegg støttet av intervjuer, se vedlegg 7.2. Det er foretatt et ytterligere utvalg av punkter hvor internrevisjonen også har foretatt en vurdering/testing av tiltakenes kvalitet/virkning. Dette gjelder spesielt for områdene risikostyring og internkontroll. Revisjonsrapport Internrevisjonen Side 5 av 44

6 3. Formål, problemstillinger og metode Formål med revisjonen Problemstillinger som skal undersøkes Metode Formålet med oppfølgingsrevisjonene er å bekrefte i hvilken grad tiltak etter revisjonene av systemforvaltning, SLA og virksomhetsstyring (del 1) fra 2011 og 2012, er implementert og virker som forutsatt. I hvilken grad er de styrevedtatte tiltaksplanene implementert? I hvilken grad virker tiltakene som forutsatt? Hva er eventuelt årsakene til at tiltak ikke er iverksatt/virker som forutsatt? I hvilken grad er gjenværende risiko på de tre tidligere reviderte områdene innenfor akseptabelt nivå? I hvilken grad har Pasientreiser ANS etablert et hensiktsmessig og effektivt system for oppfølging av interne revisjonsrapporter/anbefalinger? Planlegging av revisjon og oppstart Innledende risikoanalyse og avgrensning. Intervjuer, gjennomgang av dokumentasjon på gjennomføring og virkning av vedtatte tiltak Evaluere grad av gjennomføring av vedtatte tiltaksplaner Teste effektiviteten av utvalgte tiltak Evaluere hensiktsmessigheten i etablert system for oppfølging av interne revisjoner Resultatene fra prosjektet bearbeides i rapports form 4. Revisjonskriterier Revisjonskriterier Revisjonskriterier er utarbeidet med utgangspunkt i hvordan selskapets tiltaksarbeid/handlingsplan bør planlegges, gjennomføres og følges opp for å imøtekomme anbefalingene i revisjonsrapportene. I tillegg er kriterier som lå til grunn for revisjonsrapportene 1, 2 og 3 /2011, tatt med for å vurdere faktisk tilstand på oppfølgingstidspunktet. De ulike kriteriene er avledet fra anerkjente rammeverk for intern styring og kontroll. Kriterier for oppfølging av interne revisjonsrapporter: Revisjonsrapport Internrevisjonen Side 6 av 44

7 Tilstrekkelige og hensiktsmessige handlingsplaner. Selskapets handlingsplaner må være dekkende ved at de sikrer at alle anbefalingene følges opp med tiltak og gjøres gjeldende for selskapet samlet sett. Roller, ansvar og frister. Roller og ansvar for tiltakene må være klare og tydelige. Det må være etablert klare frister for når tiltakene i handlingsplanene skal være gjennomført. Handlingsplanene bør oppdateres løpende dersom frister eller rolle- og ansvarsforhold endrer seg og endringen bør kommenteres. Forankring. Innholdet i handlingsplanene, herunder mål, tiltak, roller og ansvar, må være kommunisert og forankret på alle nivå. Ledelsens oppfølging og rapportering. For å sikre at tiltak i handlingsplanene får effekter, må ledelsen sørge for at disse faktisk følges opp. Dette kan skje ved oppfølging og rapportering av fastsatte tiltak. Det må være tydelige rapporteringslinjer i oppfølgingen av handlingsplanene. Dette innebærer at det må være definert hvem som skal rapportere på de enkelte tiltak internt i selskapet, samt hvor og til hvilken tid det skal rapporteres. Når det gjelder rapporteringen må den være pålitelig både internt i selskapet og til styret. Pålitelig rapportering sørger for at mottakerne får nøyaktig og fullstendig informasjon som er tilpasset formålet den er ment for. Den støtter ledelsen og styret i dens beslutningstaking og oppfølging av virksomhetens aktiviteter og resultater. 5. Vurderingskriterier Vurderingskriterier Det er ikke observert vesentlige feil og/eller svakheter i styring og kontroll i prosessen som er kartlagt. Det er ikke behov for tiltak. Det er observert feil og/eller svakheter i styring og kontroll i prosessen som er kartlagt. Det bør settes i verk tiltak. Det er observert vesentlige feil og/eller svakheter i intern styring og kontroll i prosessen som er kartlagt. Det må settes i verk tiltak. Revisjonsrapport Internrevisjonen Side 7 av 44

8 6. Oppsummering av funn Pasientreiser - 2/2011 Rapport Revisjon av SLA Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status 4.2 For tilleggstjenester som utføres av pasientreiser skal det foreligge en tilleggsavtale som skal signeres av samtlige berørte parter før tjenesten leveres. Internrevisjonen har observert at Pasientreiser ANS utøver tilleggstjenester for pasientreisekontorene. Dette er i hovedsak utleie av personell som bistår Pasientreisekontorene i saksbehandlingen enten som vikarer eller ekstrapersonell i perioder der det er mye å gjøre. Internrevisjonen har fått oversendt kontrakt mellom Pasientreiser og Nordlandsykehuset HF som viser hvordan en slik tilleggsavtale er utformet. Internrevisjonen har på bakgrunn av oppdragsliste bedt om å få oversendt gjeldene avtale med Helse Fonna som dekker perioden januar - februar 2011 og Helse Stavanger for perioden juli august Internrevisjonen har observert at Pasientreiser ikke fullt ut etterlever SLA avtalens krav om at det skal foreligge ny signert avtale for alle tilleggstjenester og den praksis Pasientreiser har lagt til grunn. Internrevisjonen har forståelse for at dagens krav til å signere ny avtale for hvert tjenestekjøp kan oppfattes som tungvint. Internrevisjonen anbefaler derfor at Pasientreiser oppdaterer gjeldene SLA avtale til å gjenspeile reell praksis. Eksempelvis kan en innføre et rammeavtalekonsept der selve SLA avtalen definerer de grunnlegender betingelsene for tjenesten, og selve avropet gjøres i en forhåndsdefinert e- post/skjema el.l som minimum refererer til gjeldene SLA og beskriver omfanget (eks. varigheten) for tjenesten i det enkelte tilfellet. Rapporten ble behandlet i styremøtene: , jf. Styresak og jf. Styresak Ved behandlingen av rapporten fattet styret bl.a. følgende vedtak: Styresak 051/2011 «Revisjonsrapporten påpeker at praksis vedr tilleggstjenester er at Pasientreiser ikke etterlever SLA avtalens krav om at det skal foreligge ny signert avtale for alle tilleggstjenester Pasientreiser yter. Dette foreslås korrigert ved å utforme en standardtekst der hvert pasientreisekontor som måtte være i behov av tilleggstjenester signerer en avtale med Pasientreiser ANS. Ved ytterligere behov for konkret uttak av tilleggstjenester skjer dette gjennom avrop via denne signerte avtalen. Ved ordinær revisjon av SLA-avtalen i 2012 vurderes hvorvidt det Revisjonsrapport Internrevisjonen Side 8 av 44

9 Pasientreiser - 2/2011 Rapport Revisjon av SLA Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status Pasientreiser har ikke kunne fremskaffe signert avtale for den bestemte perioden, men viser til at de legger til grunn tidligere signert avtale og tar alle nye bestillinger pr e-post og telefon. På bakgrunn av at bestillinger/bekreftelser i stor grad gjøres pr. e-post har vi gjennomgått e-postene og observert at det kun foreligger e- post bestilling i 2 av 3 tilfeller. også bør gjøres endringer i avtaleteksten.» Internrevisjonen har observert at ytelser av tilleggstjenester nå reguleres gjennom egne vedlegg til SLA- avtalen. Det er så langt ikke vært vurdert som hensiktsmessig å gjennomføre en full reforhandling av SLA, da dette er en krevende prosess som involverer alle regionale helseforetak. Revisjonen har også gjennomgått eksempel på vedlegg til SLA- avtalen for å bekrefte at dette tiltaket er gjennomført. Revisjon av vedleggene til SLA ble sist gjennomført i slutten SLA avtalene skal være utformet på en måte som tydelig beskriver ansvar og oppgaver, kravene til kvalitet i tjenestene skal være så langt som Internrevisjonen har gjennomgått tjenestenivåavtalen med vedlegg. Hoveddokumentet beskriver forholdet mellom partene. Vedlegg 1 beskriver hvilke tjenester Pasientreiser skal yte til hvilke kvalitet. Vedlegg 2 beskriver mandatet til samarbeidsforum. I gjennom- Det er internrevisjonens vurdering at: På enkeltområder beskriver ikke SLA avtalen hvilke tjenestekvalitet tjenesten skal ha. Dette kan medføre uklare forventinger mellom Pasientreiser og tjenestemottaker. Internrevisor anbefaler at SLA avtalen oppdateres med en beskrivelse av det tjenestenivået Pasientreiser mener de Som nevnt under forrige punkt er det ikke gjennomført noen helhetlig reforhandling av SLA avtalen. Når det gjelder krav til beskrivelse av tjenestekvalitet er dette nå nærmere regulert gjennom egne vedlegg til SLA avtalen. Revisjonsrapport Internrevisjonen Side 9 av 44

10 Pasientreiser - 2/2011 Rapport Revisjon av SLA Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status mulig målbare. gangen observerer internrevisor at avtalens vedlegg 1 tydelig og lett forståelig beskriver basistjenestene med tilhørende kvalitetskrav, men har følgende merknader: 1. På enkeltområder kan det være vanskelig å skille mellom ansvar, oppgaver og kvalitetskrav. Blant annet observerer internrevisjonen at for IT tjenestene 05515, PRO og NISSY er det kun definert ansvar og oppgaver knyttet til systemdriften og ikke krav til kvalitet i tjenestene. Internrevisjonen har observert at Pasientreiser rapporterer på tjenestestabilitet knyttet til IT tjenestene i forhold til det tjenestenivået som er lagt til grunn mellom Norsk helsenett og Pasientreiser ANS. 2. Internrevisjonen kan ikke kan levere slik at forventingene mellom partene er avklart. 1. SLA avtalen beskriver ikke hvordan tjenestekvalitet skal måles. Dette kan medføre uklare tolkninger av tjenestekvaliteten. Internrevisjonen anbefaler at SLA avtalen oppdateres med en beskrivelse av hvordan tjenestekvaliteten skal måles og beregnes. 2. SLA avtalen er på et punkt uklar i forhold til selskapsavtalen. Med bakgrunn i at de regionale helseforetakene er eiere og i hovedsak forholder seg til selskapsavtalen, mens helseforetakene er tjenestemottakere og forholder seg til SLA avtalen, kan dette medføre at det oppstår uklare forventinger om ansvar og myndighet mellom partene. Internrevisor anbefaler at SLA avtalen oppdateres iht. selskapsavtalen, eller at Pasientreiser får avstemt med sine Det er utviklet egne målekort med tilhørende måltall (KPI) for måling av tjenestekvalitet. Disse målekortene dekker relevante mål- og parametre. Selskapet rapporterer månedlig og til styret ved styrets møter. Med hensyn til regelverksfortolkning har Pasientreiser ANS utgitt en veileder som gir klarere føringer for tolkning av regelverket for pasientreiser. Når det gjelder Pasientreiser ANS sin rolle som regelverksfortolker, er status her at dette ikke er mer klargjort nå enn tidligere. Dette skyldes at rollen her er påvirket av styringsmodellen for pasientreiser hvor Pasientreiser ANS ikke kan binde pasientreisekontorene ved helseforetakene. Som tidligere vil det derfor variere i hvilken grad helseforetakene retter seg etter Pasientreiser ANS sine regelverksfortolkninger. Når det gjelder punktet med avvik mellom SLA- avtalen og selskapsavtalen så er dette gjenstand for en prosess og diskusjon med Revisjonsrapport Internrevisjonen Side 10 av 44

11 Pasientreiser - 2/2011 Rapport Revisjon av SLA Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status finne en beskrivelse i SLA avtalen på hvordan tjenestekvalitet skal regnes ut, men på forespørsel får vi oppgitt hvordan dette gjøres fra Pasientreiser sin side. 3. Internrevisjonen observerer at SLA avtalen stiller krav til at Pasientreiser skal være RHFenes instans for regelverksfortolkning, mens det i selskapsavtalen fremgår at Pasientreiser skal være faglig kompetansesenter. Det er uklart for Internrevisjonen om dette kan tolkes som om Pasientreiser har tolkningsretten og skal på dette grunnlag utarbeide førende tolkningsprinsipper for bransjen, eller om pasientreisers uttalelser kun skal være veiledende. Av intervjuer internrevisjonen har gjort hos Pasientreiser eiere om deres rolle som regelverksfortolkere er veiledende eller bindene overfor helsehelseforetakene. eierne av selskapet. Revisjonsrapport Internrevisjonen Side 11 av 44

12 Pasientreiser - 2/2011 Rapport Revisjon av SLA Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status har vi fått inntrykk av at dette medfører uklarheter for Pasientreiser for hvordan de skal sikre lik praksis, opplæring med mer på tvers av pasientreisekontorene. Internrevisor er enig i at dette er et vesentlig forhold som bør avklares og førende for hvordan Pasientreiser skal utøve sitt ansvar. 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status Pasientreiser skal ha etablert og dokumentert rolle og ansvarsbeskrivels er som sikrer resultateierskap til alle oppgaver som skal utføres. Internrevisjonen har observert at det foreligger en beskrivelse av organiseringen av IKT funksjonen i selskapet og at rollene systemeier, arkitekt og områdeansvarlig er dokumentert. Videre er det observert at det er blitt gjort endringer i organiseringen av ansvar og roller den siste tiden som en del av de Internrevisjonens intervjuer og gjennomganger viser at det i stor grad er samsvar med de roller og ansvarsbeskrivelser som er skissert. Internrevisjonen observerer at det har vært noen uklarheter knyttet til ansvar og oppgaver mellom Pasientreiser og leverandører, men at det her er iverksatt kortsiktige tiltak. De endringene som er gjort er ikke Rapporten ble behandlet i styremøtet jf. Styresak Med hensyn til internrevisjonsrapportens funn ble det vedtatt fire tiltak. Deretter ble tiltaksplanen og status for gjennomføring fulgt Revisjonsrapport Internrevisjonen Side 12 av 44

13 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status kortsiktige tiltakene for å øke stabiliteten. Internrevisjonen observerer at disse endringene ikke på revisjonstidspunktet var reflektert i rollebeskrivelsene. Internrevisjonen observerer at økonomisjef har overtatt ansvaret for IKT, samtid er det for å øke kapasiteten innenfor økonomiområdet tilsatt en assisterende økonomisjef. Internrevisjonen observerer videre at Pasientreiser gjennomfører mini konkurranse blant sine leverandører om bistand til å forbedre styring og organiseringen av Pasientreiser sin IKT funksjon i et langsiktig perspektiv. reflektert i oppdaterte rollebeskrivelser. Internrevisjonen er for øvrig positiv til at det gjennomføres et prosjekt for å vurdere forbedringer i IKT styring og organisering. Internrevisjonen anbefaler likevel Pasientreise å oppdatere relevante beskrivelser. opp i møtet den jf. Styresak , og endelig i sluttrapport til møtet den , jf. Styresak : Gjennomgå og komplementere rollebeskrivelser og samhandlingsmønster internt på IKT (Utført ) Oppdatere rollebeskrivelser og samhandlingsmønstre mellom Pasientreiser og applikasjonsleverandører (Utført ) Oppdatere rollebeskrivelser og samhandlingsmønstre mellom Pasientreiser og driftsleverandører (Utført ) Gjennomføre prosjektet «Kvalitetsgjennomgang av IKT funksjonen» (Utført ) Internrevisjonen har gjennomgått rapporten fra kvalitetsgjennomgang av IKT. I tillegg er punktene fulgt opp gjennom intervjuer. Revisjonsrapport Internrevisjonen Side 13 av 44

14 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status Pasientreiser skal ha etablert gode avtaler med sine leverandører som sikrer at leveransene er i samsvar med det driftsbehov som Pasientreiser og deres kunder har. Det skal være etablert mekanismer for oppfølging av avtalene. Internrevisjonen observerer at det er etablert en driftsavtale med Norsk Helsenett for drift av IT infrastruktur for systemene PRO og NISSY. Videre er det inngått vedlikeholdsavtale for systemene med leverandørene Acando og Locus. Internrevisjonen har avdekket at driftsavtalen med Norsk Helsenett ikke inneholder regulering av: A. hvilke tjenester som skal ytes, til hvilke tjenestenivå. B. krav om rapportering C. regulering av databehandleransvaret, herunder krav om gjennomføring av sikkerhetsaktiviteter hos leverandøren iht. normen evt. Personopplysningsloven 13. (se andre funn for detaljer) D. krav om right to audit sanksjoner Det er internrevisjonens vurdering at det er etablert en praksis som sikrer oppfølging av leverandørene, men at det er ikke er etablert tilfredsstillende avtaler med Norsk Helsenett. Manglende avtaler mellom partene gjør det vanskelig for leverandøren å ta ansvar for hva som skal leveres, samtidig blir det vanskelig for Pasientreiser å følge opp avtalen da det blir uklart hva som skal leveres til hvilke kvalitet. Internrevisjonen anbefaler at avtale med Norsk Helsenett oppdateres med de nevnte områder og at det videre dokumenteres en formell prosess for oppfølging av leveransene i henhold til avtalen. Ettersom Norsk Helsenett nå ikke eies av helseforetakene, og helseforetakene ikke har noen direkte styringsrett overfor Norsk Helsenett, anbefaler internrevisjonen at Pasientreiser vurder mulighet og behov for å innføre sanksjoner. Med hensyn til internrevisjonsrapportens funn ble det vedtatt ett tiltak. Tiltaksplanen ble endelig fulgt opp i sluttrapport til møtet den , jf. Styresak : Bearbeide kontrakt og SLA til driftsleverandør (Frist ) I styrets møte ble ny frist satt til , og arbeidet pågikk fortsatt ved sluttrapportering til styret pr Internrevisjonen har gjennom intervjuer og dokumentstudier fått bekreftet at det er inngått en ny driftsavtale med Norsk Helsenett, som inkluderer de punktene internrevisjonen anbefalte regulert i avtalen, inkludert sanksjoner. Revisjonsrapport Internrevisjonen Side 14 av 44

15 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status Videre observerer internrevisjonen at Pasientreiser har gjort enkelte endringer i måten leverandørene følges opp på. Blant annet har Pasientreiser etablert en praksis med å følge opp sine leverandører gjennom regelmessige driftsmøter. Oppfølgingen tar opp i seg avvik, aktuelle saker og oppgaver med ansvar, tidsfrist og status. Internrevisjonen observerer også at Norsk Helsenett rapporterer på grad av oppetid og uønskende hendelser som har oppstått Pasientreiser skal ha en god og oversiktlig prosess for å innhente, dokumenterte og prioritere bruker og driftsbehov. Internrevisjonen observerer at Pasientreiser har etablert en prosess for å innhente, dokumentere og prioritere brukerbehov i systemene PRO og NISSY, men at prosessen har vært lite dokumentert og lite formell. Dette har medført risiko for at ikke alle endringsønsker/behov har blitt like god vurdert og Det er internrevisjonens vurdering av at pasientreisers prosess for innhenting, prioritering og godkjenning av ny og endret funksjonalitet i systemene ikke har vært tilfredsstillende, men at det er iverksatt tiltak. Med den forutsetning at tiltakene iverksettes slik de er forelagt internrevisjonen, vurderes de som Med hensyn til internrevisjonsrapportens funn ble det vedtatt ett tiltak. Status ved oppfølging møtet den , jf. Styresak : Formalisere og dokumentere Revisjonsrapport Internrevisjonen Side 15 av 44

16 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status prioritert. Intern revisjonen observerer at det den siste tiden har blitt etablert og dokumentert en ny og mer formell prosess som skal sikre at alle ideer og behov blir samlet inn, vurdert, prioritert og videre spesifisert, estimert og godkjent før utvikling/endring. tilfredsstillende. endringsprosessen (innhenting, dokumentering og prioritering av bruker - og driftsbehov) (Frist ) Status ble meldt å være «Utført» Internrevisjonen har gjennom intervjuer og gjennomgang av dokumentasjon fått bekreftet at det er utarbeidet og iverksatt en ny prosedyre for endringsprosesser knyttet til PRO og NISSY. Internrevisjonen har gjennomgått dokumentet som er benevnt «Utkast VO.95.» Revisjonen har fått opplyst at prosedyren er tatt i bruk men enda ikke er lagt over på standardisert prosedyremal Pasientreiser skal for større prosjekter ha en prosess for å gjennomføre businesscase, som beskriver utfordringen Internrevisjonen observerer at det kun foreligger businesscase for OCR prosjektet. Businesscase inneholder muligheter, gevinster og investeringsanalyse. Internrevisjonen anser det som positiv at det gjennomføres businesscase og mener dette bør gjennomføres for alle sentrale områder/prosjekter som vurderes i Pasientreiser. Videre bør businesscase inneholde Med hensyn til internrevisjonsrapportens funn ble det vedtatt to tiltak. Status ved oppfølging møtet den , jf. Styresak : Revisjonsrapport Internrevisjonen Side 16 av 44

17 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status sammen med foreslått løsning og estimater for kostnader, tid, risiko og plan for gevinstrealisering. vurdering av tidsforbruk/tidsplan, risikoer og plan for gevinstrealisering. Dette vil enda bedre sikre at Pasientreiser iverksetter riktige og gode prosjekter og redusere risiko for feil og manglende gevinstrealisering. Formalisere og dokumentere endringsprosessen inkl. business case oppsett og anvendelse (Frist ) status «Utført» Utarbeide rutine for porteføljestyring i Pasientreiser ANS (Frist ) status «Utført» Internrevisjonen har gjennom intervjuer og dokumentstudier at krav til business case er innført og at det er utarbeidet egen mal og metode for dette. Det er også utarbeidet rutine for porteføljestyring. Internrevisjonen har fått opplyst at business case primært er aktuelt for større prosjekter Pasientreiser skal ha en IT infrastruktur og arkitektur som understøtter god prosess/ systemintegrasjo n og er ikke til hinder for Det har ikke vært innenfor internrevisjonens mandat å vurdere den tekniske arkitekturen i systemet, men internrevisjonen observerer at Pasientreiser har arvet systemeieransvaret fra Helse Sør Øst og har hatt begrensede muligheter til å påvirke Det er internrevisjonens vurdering at Pasientreiser har fokus på å ha en IT arkitektur som understøtter god prosess/ systemintegrasjon, internrevisjonen er positiv til at det gjennomføres en uavhengig vurdering av PRO og NISSYs arkitektur. Videre ser internrevisjonen det som en risiko at mellomvaren Sonic ikke er Med hensyn til internrevisjonsrapportens funn ble det vedtatt to tiltak. Status ved oppfølging i møtet den , jf. Styresak : Revisjonsrapport Internrevisjonen Side 17 av 44

18 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status virksomhetssyste menes måloppnåelse systemenes arkitektur. Videre observeres det at det er etablert en egen arkitektrolle som skal sikre god arkitektur i og mellom systemene. Internrevisjonen observerer også at pasientreiser planlegger å gjennomføre en større vurdering av systemene for å ha grunnlag til å vurdere videre utvikling av PRO og NISSY. Internrevisjonen observerer videre at systemene benytter en mellomvaretjeneste Sonic levert fra Norsk Helsenett som er nødvendig for at NISSY og PRO skal fungere. Internrevisjonen kan ikke finne dokumentasjon på hvordan denne tjenesten er innlemmet i avtalen med Norsk Helsenett og hvordan den påvirker Pasientreiser sin tjenestekvalitet i programvaren PRO og NISSY. implementert som en tjeneste i driftsavtalen med Norsk Helsenett. Internrevisjonen anbefaler at Pasientreiser gjennomfører den planlagte vurderingen av arkitekturen i PRO og NISSY. Det anbefales også at en etablerer at avtale med Norsk Helsenett der tjenesten Sonic defineres. Gjennomføre prosjektet «Kvalitetsgjennomgang av IKT funksjonen» (Status «Utført») Vurdere om Pasientreiser ANS bør ta ansvaret for avtaleverket for Sonic mellom Norsk Helsenett og de Regionale Helseforetakene (Status «Utført. Arbeid med å iverksette pågår» Internrevisjonen har gjennom intervjuer og dokumentstudier bekreftet at tiltakene er gjenomført. Når det gjelder SONIC har vurderingen vært at det ikke var aktuelt for selskapet å ta over ansvaret for avtaleverket. Det er imidlertid satt klarere krav til leverandøren ifht oppetid. Etter hva internrevisjonen erfarer er spørsmålet om ansvar for avtaleverket for SONIC på nytt aktuelt, og skal igjen vurderes. Revisjonsrapport Internrevisjonen Side 18 av 44

19 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status Pasientreiser skal ha etablert en god prosess for implementering av nye versjoner og endringer i programvare som reduserer risiko for feil Internrevisjonen observerer at det tidligere ikke har vært noe formell prosess knyttet til endringshåndtering, men at det som en del av de kortsiktige tiltakene er iverksatt en praksis som ivaretar at implementering av nye versjoner og endringer blir bedre håndtert. Denne praksisen er dokumentert som et utkast, og internrevisjonen finner dokumentasjon på at det er gjennomført aktiviteter som testplaner og test. Pasientreiser har etablert en praksis som sikrer at implementering av nye versjoner og endringer i programvare blir håndtert på en måte som reduserer risiko for feil, men denne er ikke ferdig dokumentert. Internrevisjonen anbefaler at prosessen dokumenteres. Aktiviteter og ansvar som evt. tillegges leverandører bør tas med i avtale. Med hensyn til internrevisjonsrapportens funn ble det vedtatt ett tiltak. Status ved oppfølging i møtet den , jf. Styresak : Formalisere og dokumentere endringsprosessen (implementering av nye versjoner og endringer i programvare) Frist Status «Utført) Tiltaket er gjennomført blant annet gjennom ny prosessbeskrivelse for nye versjoner og endringer. Prosedyredokumentet er gjennomgått Pasientreiser skal ha etablert en prosess som sikrer at servere o.a. infrastruktur blir holdt ved like og løpende Det er Norsk Helsenett som har ansvar for drift og vedlikehold av infrastrukturen som NISSY og PRO benytter. Internrevisjonen observerer at det i avtalen med Norsk Helsenett er Norsk Helsenett som har Det er internrevisjonens vurdering at det ikke er etablert en formell prosess som fordeler ansvar for håndtering av sikkerhetsoppdateringer og normale versjonsoppdateringer, men dette håndteres gjennom avtalte driftsmøter. Med hensyn til internrevisjonsrapportens funn ble det vedtatt to tiltak. Status ved oppfølging i møtet den , jf. Styresak Revisjonsrapport Internrevisjonen Side 19 av 44

20 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status oppdatert (patch management) Pasientreiser skal regelmessig gjennomføre risikovurdering for å for å avdekke risiko. For behandling av ansvar for å gjennomføre oppgradering av Patcher for OS, sikkerhetspatcher, nye releaser, BIOS, firmware etc. mens det for oppgradering av programvare som ligger oppå OS og som er en del av PRO og NISSY gjennomføres oppgraderinger i samarbeid med Pasientreiser og leverandørene. Fra Norsk Helsenett får internrevisjonen bekreftet at det ikke er etablert noen prosess for å gjennomføre arbeidet, men at dette skjer etter avtale med Pasientreiser og ved behov som koordineres gjennom driftsmøter. Dette er i samsvar med hva internrevisjonen har observert hos Pasientreiser. Internrevisjonen observerer at Pasientreiser har innført en god prosess for å gjennomføre risikovurderinger som involverer alle avdelingene i selskapet. Risikovurderingen som Internrevisjonen har gjennomgått Internrevisjonen anbefaler at det dokumenteres en formell prosess for håndtering av sikkerhetsoppdateringer. Ansvar og gjennomføring bør gjenspeiles i oppdatert avtale. Internrevisjonen vurderer det som positivt at Pasientreiser har en innarbeidet prosess for gjennomføring av risikovurderinger som dekker alle avdelinger i selskapet. Internrevisjonen oppfatter videre at virksomheten ikke i tilstrekkelig grad har dokumentert at : Utarbeide prosedyre for håndtering av sikkerhetsoppgraderinger og dokumentere denne. Inngå ny avtale / tilpasse avtale med leverandører (Locus. Acando og NHN) Frist for begge tiltak var og begge er avrapportert som «Utført». Internrevisjonen har gjennomgått avtalen med Norsk Helsenett. Prosedyre for håndtering av sikkerhetsoppgraderinger er nedfelt i Bilag 2 til avtalen. Med hensyn til internrevisjonsrapportens funn ble det vedtatt tre tiltak. Status ved oppfølging i møtet den , jf. Styresak Revisjonsrapport Internrevisjonen Side 20 av 44

21 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status personopplysning er skal en også vurdere risiko knyttet til behandling av personopplysning er i forhold til enkeltmennesker s personvern. Risikovurderingen skal dekke alle behandlinger/hel e behandlingen, og gjennomføres før behandlingen igangsettes. Resultat fra risikovurderinger skal sammenlignes med det akseptable risikonivå ledelsen har besluttet Pasientreiser skal jevnlig, slik at vurderer i liten grad risiko knyttet til behandling av personopplysninger i forhold til enkeltmenneskers personvern. Internrevisjonen kan ikke finne beskrivelse av akseptnivået for risiko og kriteriene som ligger til grunn for å kategorisere sannsynlighet og konsekvens 1 4. Pasientreiser har etablert en prosess for gjennomføring av det er vurdert risiko i forhold til enkeltmenneskers personvern. Manglende vurdering av risiko knyttet til enkeltmenneskers personvern medfører brudd på Personopplysningsloven og Normen. Internrevisjonen anbefaler at det gjennomføres risikovurdering av alle behandlinger som gjennomføres i Pasientreiser sine IT systemer i forhold til enkeltmenneskers personvern. Resultat fra risikovurdering må sammenlignes med akseptabelt risikonivå ledelsen har besluttet. Det er Internrevisjonens vurdering at Pasientreiser har etablert en : Revidere rutine for risikovurdering og legge dette inn i prosessen for kvalitetssikring (personopplysninger) (Frist Utarbeide forslag til ROS analyse på systemnivå (Frist ) Utarbeideforslag for definisjon av akseptabel risiko for konfidensialitet (Frist ) Alle tre punkter ble avrapportert som «Fullført» til møtet den Internrevisjonen har også gjennomgått og vurdert Pasientreiser sitt metodeopplegg for riskostyring. Revisjonsrapport Internrevisjonen Side 21 av 44

22 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status hele informasjonssyste met/ organisasjonen er gjennomgått over en 12 mnd. periode, etterprøve at informasjons syst emet benyttes i samsvar med rutiner, og at sikkerhetstiltak fungerer som forutsatt. sikkerhetsrevisjoner og egenkontroller for å etterprøve at informasjonssystemet benyttes i samsvar med fastsatte rutiner og sikkerhetstiltak fungerer som forutsatt. Internrevisjonen finner dokumentasjon på at det er gjennomført en rekke sikkerhetsrevisjoner hos de ulike pasientreisekontorene i Helseforetakene. Pasientreiser har også definert en egenkontroll som skal utføres av de ulike avdelingene i Pasientreiser for å avdekke og fange opp eventuelle avvik i krav og rutiner. Internrevisjonen har ikke kunnet finne dokumentasjon knyttet til dette da rutinen ikke er iverksatt. Pasientreiser informerer også om at det har vært et bevisst valg å prioritere gjennomføring av sikkerhetsrevisjoner av pasientreisekontorene før kontroll av egen organisasjon. tilfredsstillende prosess for oppfølging av Pasientreisekontorene, men at de også må gjennomføre sikkerhetsrevisjon av leverandørene av PRO, NISSY og Norsk Helsenett. Rutiner for egenkontroll bør iverksettes og være en del av oppfølgingen i egen organisasjon. Manglende gjennomføring av sikkerhetsrevisjoner medfører brudd på Personopplysningsloven og Normen. Videre kan det medføre at iverksatte tiltak ikke fungerer etter hensikten, uten at det blir oppdaget. Med hensyn til internrevisjonsrapportens funn ble det vedtatt to tiltak. Status ved oppfølging i møtet den ,jf. Styresak : Planlegge og gjennomføre sikkerhetsrevisjon av leverandørene Frist Revidere og iverksette rutiner for egenkontroll Frist Tiltakene er gjennomført, sikkerhetsrevisjon høsten Internrevisjonen har gjennomgått rapportene fra sikkerhetsrevisjonene. Det er også gjennomført en oppfølgingsrunde i etterkant. Revisjonsrapport Internrevisjonen Side 22 av 44

23 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status Egenkontroll i Pasientreiser er planlagt. Det er gjennomført gjennomgang av internkontrollen på en rekke områder internt i Pasientreiser ANS Medarbeidere skal entydig autoriseres for bruk av informasjonssyste met. Som hovedregel skal informasjonssyste met kun benyttes for å utføre pålagte oppgaver. Pasientreiser sine systemer NISSY og PRO er satt opp slik at personer som har tilgang til helse og personopplysninger i systemene autentiseres ved hjelp av brukernavn og passord. Det er også utformet en ny prosess for godkjenning og tildeling av brukerkontoer i PRO. Knyttet til PRO ble det observert: Det stilles krav til passordkompleksitet i samsvar med Normen for vanlige brukere. For administratorkontoer er lengdekravet 7 tegn. Det er implementert funksjonalitet for periodisk bytte Det er positivt at programmene er bygd opp rundt entydige brukerkontoer og autorisering basert på roller og tilhørighet. Den planlagte prosessen for tilgangsstyring til PRO fremstår også som dekkende. Når det gjelder passordfunksjonaliteten i PRO bør det undersøkes hvorfor det for flere brukere ikke har satt sist dato for bytte av passord og det bør sikres at funksjonaliteten gjelder alle brukere dersom den skal være til stede i systemet. For PRO bør det vurderes om lengdekravet for passord bør endres slik at dette er i samsvar med krav i Normen og tilhørende faktaark. Dette under forutsetning av spørsmålet om passordfunksjonalitet blir håndtert som planlagt. Med hensyn til internrevisjonsrapportens funn ble det vedtatt to tiltak. Status ved oppfølging i møtet den , jf. Styresak : Dokumentere eksisterende rutiner for tildeling av autorisasjoner / brukerroller & -rettigheter for PRO Frist Tekniske endring av krav til passord i NISSY Revisjonsrapport Internrevisjonen Side 23 av 44

24 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status Pasientreiser skal ha etablert prosesser for å sikre at autorisert bruk, og forsøk på uautorisert bruk av informasjons syst emene registres i av passord. Det ble observert flere kontoer hvor tidspunkt for sist bytte av passord ikke var satt. Dette ble tilskrevet en feil i en tidligere versjon av programmet. For NISSY gjorde revisjonen følgende observasjoner: Det er etablert roller i systemet som begrenser hva brukeren autoriseres til Passord skal være mellom 5 og 10 tegn Det er ikke lagt opp funksjonalitet for å ta ut lister over hvem som har tilgang til systemet Internrevisjonen er ikke blitt forevist aktiviteter eller dokumentasjon som viser at slik kontroll blir utført. Av de personer internrevisjonen intervjuet var det også knyttet stor usikkerhet til ansvaret for å konfigurere, overvåke og analysere slike Dette vurderes som et brudd på kravene i Personopplysningsloven og Normen at Pasientreiser ikke har etablert prosess for å sikre at autoriserte bruk, og forsøk på uautorisert bruk Av informasjonssystemene logges. Pasientreiser må utarbeide en beskrivelse av hvordan kravet om Frist Dokumentering av rutiner er meldt ferdigstilt ved sluttrapportering den Når det gjelder teknisk endring av passordfunksjonalitet er dette tiltaket fortsatt ikke ferdigstilt. En slik endring av krav til passordfunksjonalitet forutsetter ny versjon av programvaren. Ny release for Nissy er planlagt å foreligge våren Med hensyn til internrevisjonsrapportens funn ble det vedtatt tre tiltak. Status ved oppfølging i møtet den , jf. Styresak : Revisjonsrapport Internrevisjonen Side 24 av 44

25 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status henhold til krav i Personopplysning sloven med forskrift og Norm for informasjonssikke rhet i helsesektoren. hendelser. Norsk Helsenett har som driftsleverandør ansvar for å overvåke sikkerhetslogger i sentral infrastruktur, men gjennomfører ikke noen gjennomgang av applikasjons logger for PRO og NISSY. registrering av autorisert bruk og forsøk på uautorisert bruk gjøres og hvem som har ansvar for å gjennomgå og analysere logger. Dokumentere eksisterende rutiner for tildeling av autorisasjoner / brukerroller & -rettigheter PRO Frist Avdekke avvik til kravet til registrering av autorisert & uautorisert bruk av NISSY og PRO Frist Definere metode/rutine for å avdekke og følge opp uautorisert bruk av NISSY & PRO Frist Alle tre tiltak er rapportert utført pr Internrevisjonen har bekreftet gjennom dokumenter og intervjuer at dette er gjennomført. Det utarbeidet et sett med 11 ulike rutiner som ligger på internkontrollområdet som dekker tiltakene/anbefalingene Pasientreiser skal ha en prosess som sikrer at det foretas sikkerhetskopieri Ansvaret for sikkerhetskopiering er tillagt Norsk Helsenett gjennom driftskontrakten. Denne spesifiserer at det skal tas sikkerhetskopi, men definerer Pasientreiser har etablert nødvendige prosesser for at sikkerhetskopi blir utført, men en mangler prosesser for å teste at sikkerhetskopi faktisk fungerer. Med hensyn til internrevisjonsrapportens funn Revisjonsrapport Internrevisjonen Side 25 av 44

26 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status ng av programvare og data. Sikkerhetskopi skal overvåkes og testes. ikke frekvens, hvor lenge den skal lagres eller prosedyrer for test. osv. Pasientreiser har ikke prosedyrer for å teste at sikkerhets kopi fungerer og henviser til Norsk Helsenett. Undersøkelser internrevisjonen har gjort viser at Norsk Helsenett ikke gjennomfører test av sikkerhetskopi. Internrevisjonen observerer også at sikkerhetskopi har vært kopiert tilbake i forbindelse med en hendelse. Manglende test av sikkerhetskopi medfører risiko for at sikkerhetskopi ikke fungerer ved behov. Internrevisjonen anbefaler at det etableres en prosess for å regelmessig teste sikkerhetskopi gjennom f.eks. å gjøre gjenoppretting tilbake til Pasientreiser sitt testmiljø. Arbeidet bør dokumenteres ble det vedtatt tre tiltak. Status ved oppfølging i møtet den , jf. Styresak : Rutine for hvordan sikkerhetskopi og restore (systemgjenoppretting ) skal gjennomfører (med risikoanalyser av dagens situasjon) Frist Rutine for å verifisere at sikre at sikkerhetskopi tas og restorefungerer tilfredsstillende Frist Begge tiltak er oppgitt å være utført pr Internrevisjonen har mottatt og gjennomgått rutine for sikkerhetskopi og restore Pasientreiser skal ha skriftlig avtale med evt. databehandlere. Avtalen skal omfatte ansvarsog Pasientreiser har etablert dekkende databehandleravtaler med de ulike Helseforetakene. Det er imidlertid ikke etablert slike avtaler med Norsk Helsenett. Enkelte sikkerhetskrav er dekket gjennom Norm for Manglende databehandleravtaler med driftsleverandørene er brudd på krav i Normen og i personopplysningsloven. Pasientreiser må derfor gjennomgå avtaleverket med sine leverandører og sikre at avtalene er dekkende. Med hensyn til internrevisjonsrapportens funn ble det vedtatt et tiltak. Status ved oppfølging i møtet den , jf. Styresak Revisjonsrapport Internrevisjonen Side 26 av 44

27 1/2011 Rapport - Revisjon av systemforvaltning Nr Kriterier Observasjon Vurdering Observasjon/vurdering av status myndighetsforhol d knyttet til informasjonssikke rhet. informasjonssikkerhet i helsesektoren, men Normen regulerer ikke Norsk Helsenett bruk og hvilke tjenester som skal ytes : Databehandleravtaler er signert Frist Internrevisjonen har gjennomgått Databehandleravtalen. Den er signert Pasientreiser - 3/2011 Rapport - Revisjon av virksomhetsstyring, - intern styring og kontroll del 1 Nr IK- faktor Funn Anbefaling Observasjon/vurdering av status a) Holdninger til styring og kontroll Krav til intern styring og kontroll Krav til intern styring og kontroll er nedfelt i styrende dokumenter som vedrører virksomhetsstyringen, men det er anlagt et snevert internkontrollperspektiv med fokus på lovetterlevelse. For å oppnå mer effektiv kommunikasjon av innhold i og forutsetninger for god intern styring og kontroll, anbefaler internrevisjonens at det etableres et grunnlagsdokument som nedfeller krav og føringer til helhetlig intern styring og kontroll i selskapet Med hensyn til internrevisjonsrapportens funn ble det vedtatt to tiltak. Status ved oppfølging av tiltaksplanen i møtet den , jf. Styresak : Gjennomgå og komplementere styrende dokumenter for internkontroll Revisjonsrapport Internrevisjonen Side 27 av 44

28 Pasientreiser - 3/2011 Rapport - Revisjon av virksomhetsstyring, - intern styring og kontroll del 1 Nr IK- faktor Funn Anbefaling Observasjon/vurdering av status Frist Vedta nye styrende dokumenter Frist Begge tiltak ble rapportert utført til styremøtet den Internrevisjonen har innhentet og gjennomgått styrende dokumenter for internkontroll. Dokumentene er dekkende i forhold til internrevisjonens anbefaling (Basert på COSO- standarden) b) Ressurser/ kompetanse Kompetanse Det er definerte krav til ledere og medarbeideres kompetanse og det arbeides kontinuerlig med å sikre at selskapet til enhver tid har riktig kompetanse. Det er imidlertid pr i dag ikke utarbeidet strategier/planer for å ruste opp/vedlikeholde ledernes og medarbeidernes kompetanse slik at denne er best mulig tilpasset selskapets ansvar og oppgaver. For å oppnå god styring og utvikling av selskapets menneskelige ressurser anbefaler internrevisjonen at det utarbeides og besluttes plan for kompetanse i selskapet. Dette under forutsetning av at prosessen knyttet til kompetanse gjennomføres som planlagt. Med hensyn til internrevisjonsrapportens funn ble det vedtatt to tiltak. Status ved oppfølging av tiltaksplanen i møtet den , jf. Styresak : Videreutvikle malverk for kompetanseplaner på overordnet Revisjonsrapport Internrevisjonen Side 28 av 44

29 Pasientreiser - 3/2011 Rapport - Revisjon av virksomhetsstyring, - intern styring og kontroll del 1 Nr IK- faktor Funn Anbefaling Observasjon/vurdering av status strategisk nivå Frist Implementere nye kompetanseplaner i alle avdelinger Frist Det fremgår videre av fremleggsnotatet: «Malverk og prosedyrer vil ferdigstilles i løpet av 2012 og implementering vil gjennomføres i hele organisasjonen i løpet av Det legges opp til standardisert, felles malverk med vekt på individuelt tilpassede kompetanseplaner. Arbeidet blir forankret i organisasjonen gjennom arbeidsmiljøutvalg og tillitsvalgte.» Arbeidet med kompetanseplaner pågår fortsatt og skal sluttføres i Internrevisjonen har innhentet og gjennomgått maler og materiell fra den pågående prosessen. I følge gjeldene plandokument skal individuelle kompetanseplaner være ferdigstilt innen Revisjonsrapport Internrevisjonen Side 29 av 44

30 Pasientreiser - 3/2011 Rapport - Revisjon av virksomhetsstyring, - intern styring og kontroll del 1 Nr IK- faktor Funn Anbefaling Observasjon/vurdering av status a) Etablering av målsettinger Etablering av målsettinger - Det er etablert avtaler som nedfeller mål, oppgaver og resultatkrav mellom AD og nivå 2-ledere. - Det er i hovedsak etablert avtaler eller lignende som nedfeller mål og oppgaver mellom nivå 2 og 3, men målformuleringene i disse varierer i tydelighet og konsistens mellom avdelinger og nivåer. Det er ikke etablert en oversikt over lover og forskrifter som selskapets virksomhet er omfattet av. For å legge enda bedre til rette for å kunne evaluere risikoer knyttet til måloppnåelse, pålitelig styringsinformasjon og etterlevelse av lov- og regelverk, anbefaler internrevisjonen at det etableres en enhetlig standard for å nedfelle målsettinger og resultatkrav på, og som benyttes gjennomgående i selskapet. - Videre anbefales det lagt opp aktiviteter i forbindelse med den årlige virksomhetsplanleggingen for å sikre implementering av dette. - For å sikre mer effektiv styring mot lovetterlevelse, anbefales det at det etableres en samlet oversikt over hvilke lovkrav som gjelder for selskapet som helhet, og som systematiseres og ansvarsplasseres i de respektive avdelingene. Med hensyn til internrevisjonsrapportens funn ble det vedtatt to tiltak. Status ved oppfølging av tiltaksplanen i møtet den , jf. Styresak : Videreutvikle dagens modell for oppfølging (inklusiv lov- og forskriftskrav og aktiviteter) Frist Implementere ny modell i avdelingene (etter neste strategiprosess) Frist Samle oversikt med lovkrav Frist Status : Utført. Implementering av ny modell i avdelingene ble sluttført høsten Internrevisjonen har gjennomgått dokumenter for målstyring og oversikt over lovkrav. Lovkravene er Revisjonsrapport Internrevisjonen Side 30 av 44